firewalls
DESCRIPTION
FIREWALLS. Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,[email protected]. Firewalls. Simples pontos de conexão entre duas redes não confiáveis Permitem que a comunicação seja monitorada e segura Propriedades todo tráfego deve passar pelo firewall - PowerPoint PPT PresentationTRANSCRIPT
FIREWALLS
Cristina Dutra de Aguiar Ciferri
Ricardo Rodrigues Ciferri
Sônia V. A. França
cdac,rrc,[email protected]
Firewalls
• Simples pontos de conexão entre duas redes não confiáveis
• Permitem que a comunicação seja monitorada e segura
• Propriedades– todo tráfego deve passar pelo firewall– somente o tráfego autorizado pode passar– o firewall propriamente dito é imune de
invasões
Internet
rede interna
FirewallFirewallsistema de firewall:• roteador• PC• sistema Unix• conjunto de hosts
baseado em: • hardware• software
Firewall
• Seguro– não é um host de propósito geral
• Ponto central para administração de serviços– correio eletrônico– ftp
• Garante política de segurança
Firewall
• Foco de decisões de segurança– mais eficiente do que espalhar decisões e
tecnologias de segurança
• Permite rastreamento– origem das conexões– quantidade de tráfego no servidor – tentativa de quebra do sistema
• Limita a exposição
FirewallNão oferece proteção contra:
• Ataques internos maliciosos
• Conexões que não passam pelo firewall
• Ameaças totalmente novas
• Vírus
Tecnologia
• Estática– permitir qualquer serviço a menos que ele seja
expressamente negado– negar qualquer serviço a menos que ele seja
expressamente permitido
• Dinâmica– permitir/negar qualquer serviço para quando e
por quanto tempo desejar
Componentes
Gateway(s)
Filtro Filtro
Internetrede
interna
• zona desmilitarizada (DMZ)• gateway + gateway interno
protege a rede interna das consequências de um gateway comprometido
protege o gateway de ataques
• também chamado de screen (screening router)
• bloqueia transmissão de certas classes de tráfego
• uma máquina• conjunto de máquinasque oferece(m) serviços através de proxy
Packet Filtering
• Funcionalidade– roteia pacotes entre hosts internos e externos de
maneira seletiva– permite ou bloqueia a passagem de certos tipos
de pacotes– reflete a política de segurança do site
• Filtragem– quando o pacote está chegando– quando o pacote está saindo
Packet Filtering
• Filtragem baseada em– endereços fonte e destino– portas fonte e destino– protocolo– flags– tipo da mensagem
• Exemplos– bloqueie todas as conexões oriundas do host X– permita apenas conexões SMTP
rede interna
Internet
screening router
Packet FilteringScreening Router
• determina se pode ou não enviar o pacote
• determina se deve ou não enviar o pacote
Como o pacote pode ser roteado?
O pacote deve ser roteado?
Router• verifica endereço de
cada pacote• escolhe melhor
maneira de enviá-lo
Como o pacote pode ser roteado?
Configuração
Processo de três passos:
• Determinar o que deve e o que não deve ser permitido– política de segurança
• Especificar formalmente os tipos de pacotes permitidos– expressões lógicas
• Reescrever as expressões de acordo com o produto
Exemplo• Passo 1
– tráfego IP: host externo confiável (172.16.51.50) e hosts da rede interna (192.168.10.0)
• Passo 2
Regra Direção Fonte Destino ACK Ação
A inbound 172.16... interna qualquer permitir
B outbound interna 172.16.... qualquer permitir
C ambas qualquer qualquer qualquer negar
Exemplo
• Passo 3– Screend
• between host 172.16.51.50 and net 192.168.10 accept;
• between host any and host any reject;
– Telebit NetBlazer• permit 172.16.51.50/32 192.168.10/24 syn0 in
• deny 0.0.0.0/0 0.0.0.0/0 syn0 in
• permit 192.168.10/24 172.16.51.50/32 syn0 out
• deny 0.0.0.0/0 0.0.0.0/0 syn0 out
Filtragem por Endereço• Características
– restringe o fluxo de pacotes baseado nos endereços fonte e destino
– não considera quais protocolos estão envolvidos
• Utilização– permite a comunicação hosts externos e hosts
internos
• Problema– endereços podem ser inventados
Internet
rede interna
FirewallFirewall
Telnet Server
Telnet Client
OUTGOING
IP fonte: cliente localIP destino: servidorserviço: TCPporta fonte: >1023 (Y)porta destino: 23 (telnet)pacotes:
• 1: sem ack• demais: com ack
Filtragem por Serviço
Outbound
Internet
rede interna
FirewallFirewall
Telnet Server
Telnet Client
INCOMING
IP fonte: servidorIP destino: cliente localserviço: TCPporta fonte: 23 (telnet)porta destino: >1023 (Y)pacotes: com ack
Filtragem por Serviço
Outbound
Internet
rede interna
FirewallFirewall
Telnet Client
Telnet Server
INCOMING
IP fonte: cliente remotoIP destino: servidorserviço: TCPporta fonte: >1023 (Z)porta destino: 23 (telnet)pacotes:
• 1: sem ack• demais: com ack
Filtragem por Serviço
Inbound
Internet
rede interna
FirewallFirewall
Telnet Client
Telnet Server
OUTGOING
IP fonte: servidorIP destino: cliente remotoserviço: TCPporta fonte: 23 (telnet)porta destino: >1023 (Z)pacotes: com ack
Filtragem por Serviço
Inbound
Filtragem por ServiçoDireçãoServiço
DireçãoPacote
End.Fonte
End.Destino
TipoPacote
PortaFonte
PortaDestino
ACK
outbound outgoing interno externo TCP Y 23 a
outbound incoming externo interno TCP 23 Y Yes
inbound incoming externo interno TCP Z 23 a
inbound outgoing interno externo TCP 23 Z Yes
Regra Direção End.Fonte
End.Destino
Protocolo
PortaFonte
PortaDestino
ACK Ação
A out interno qq TCP >1023 23 qq permitir
B in qq interno TCP 23 >1023 Yes permitir
C ambas qq qq qq qq qq qq negar
Packet Filtering
• Vantagens– pode ajudar a proteger uma rede inteira– não requer conhecimento ou cooperação do
usuário– disponível em vários roteadores– baixo custo
• Desvantagens.........
Application-Level Gateway
servidorreal
clienteinterno
cliente servidor
pedidopropagação do pedido
resposta propagação da resposta
proxy possui controle total
Circuit-Level Gateway
circuit-levelgateway
servidorcliente
porta destino
porta fonte TCP
IP
Acesso a Rede
Arquitetura de Firewalls
• Solução universal ?
• Problemas– quais serviços serão disponibilizados ?– qual o nível de risco ? – qual a política de segurança ?
• Técnicas– tempo, custo e conhecimento– TELNET e SMTP packet filtering– FTP e WWW proxy
Packet Filtering Architecture
• Screening Router é colocado entre uma rede interna e a Internet
• Controle do tráfego de rede: endereços IP, portas, protocolo, flags, ...
• Nenhuma mudança é requerida nas aplicações cliente e servidor (pacotes)
• Simples mais comum e fácil de usar em sites pequenos
• Mas ....
Packet Filtering Architecture• Problemas:
– falha compromete toda a rede interna – número de regras pode ser limitado– desempenho x número de regras– não é possível modificar serviços: permite ou
nega, mas não pode proteger operações individuais
– complexidade de configuração – tratamento de exceções– log dos pacotes que passaram
interfacede rede
interfacede rede
interfacede rede
Rede 2Rede 1 Rede 3
roteamento opcional
Dual-Homed Host ArchitectureMulti-Homed Host:
várias interfaces de rede (homes)
• Host: 2 interfaces de rede (interna e Internet)
• Função de roteamento desabilitada– pacotes não são roteados diretamente para outra
rede não permite comunicação direta entre a rede interna e a Internet
– isolamento de tráfego entre as redes
• Acessível – por hosts da rede interna – por hosts da Internet – requer alto nível de proteção
Dual-Homed Host Architecture
• Login diretamente no dual-homed host– acesso aos serviços através da interface de rede
externa (Internet)– segurança do sistema pode ser comprometida– vulnerabilidade de senhas– usuário pode habilitar serviços inseguros– dificuldade de monitoração e detecção de
ataques– baixo desempenho– oferecimento de serviços indesejáveis
Dual-Homed Host Architecture
servidorreal
clienteinterno
FTP proxy
interface interface
ILUSÃO
Internet
InternetFTP
Serviços “store-and-forward”: SMTP (mail) e NNTP (news)
mail proxy
Dual-Homed Host Architecture
Internet
screening router
rede interna
bastionhost
Screened Host Architecture
• Problemas– falha do roteador compromete segurança
oferecida pelo bastion host– ataque ao bastion host não há outra barreira
entre a Internet e a rede interna– visibilidade de tráfego interno: coleta de senhas
através de monitoração de seções telnet, ftp e rlogin, acesso a arquivos e/ou mails que estejam sendo lidos/acessados
Internet
rede interna
rede perimetral - DMZ
screening router externo
bastionhost
screening router interno
Screened Subnet Architecture
• Visibilidade do tráfego – via bastion host apenas para a DMZ– ideal: tráfego na DMZ não deve ser confidencial– dados devem ser protegidos por criptografia
• Serviços externos– via proxy– conexão direta via packet filtering
Internet
rede interna
DMZ interna
DMZ externa
externo
interno
intermediário
WWW/FTP
Múltiplos BHsInternet
rede interna
FTP
rede perimetral - DMZ
SMTP2WWW
desempenho, redundância, separação de dados e serviçosdesempenho, redundância, separação de dados e serviços
rede interna
externo
interno
bastion host
Internet
DMZ externa
DMZ interna
quebra não permite visibilidade do tráfego
da rede interna
Produtos Comerciais• Informações técnicas de produtos de firewall
– www.access.digex.net/~bdboyle/firewall.vendor.html
• Grande variedade– SecurIT www.milkyway.com/prod.html– Borderware www.securecomputing.com– Firewall-1 www.CheckPoint.com– ... Guardian www2.ntfirewall.com/ntfirewall
• Freestone: código fonte de produto comercial– www.soscorp.com/products/Freestone.html
Firewall-1
• É um sistema de segurança de rede para criação e gerenciamento de firewall TCP/IP.
• Possibilita que empresas construam suas próprias políticas de segurança.
• Instalado em um servidor de gateway, o Firewall-1 atua como um roteador seguro para passagem de tráfego entre companhias privadas e redes públicas.
Firewall-1
• Características: – Filtragem segura de pacotes; – Acesso seguro a Internet;– Acesso remoto seguro; – Redes Virtuais Privadas (VPN) para criar
seguros “túneis” através de redes públicas inseguras;
– Habilidade para definir a adicionar novos protocolos e serviços;
– Auditoria e alerta.
Firewall-1
• Vantagens:
– flexibilidade; – escalabilidade; – extensibilidade; – transparência; – suporte a múltiplos
protocolos e tecnologia de rede;
– pode ser distribuído sobre múltiplas plataformas;
– requerimentos de conectividade sem causar impacto a performance da rede.
Firewall-1
• Requerimentos:
Plataforma de hardware : Sun SparcIntel executando Solaris 2.4 ou versões superiores
Sistema Operacional : SunOs 4.1.3 ou SolarisWindows 95/Windows NT
Interface Gráfica : X11R5/Open LookEspaço em Disco : 15 MbMemória : 32 MbInterface de Rede : Interface padrão de SUN workstation
Firewall-1
• Arquitetura:– Atua como um roteador seguro entre uma rede
interna e uma rede externa.
FireWall-1Rede
ExternaRede
Interna
Internet
Firewall-1
• Arquitetura:– Módulo de Controle: inclui o módulo de
gerenciamento e interface para o usuário;
– Módulo FireWall: inclui o módulo de inspeção, deamons do FireWall-1 e segurança dos servidores. Implementa política de segurança, log dos eventos e comunica-se com o módulo de controle através de deamons.
• Arquitetura:
Firewall-1
Módulo de Inspeção
Deamon
Interface gráfica do usuário
Servidor de gerenciamento
Log/Alerta
Módulo FireWall Módulo de Controle
Logs/Alerta
StatusLogs/Alerta
Comandos
Login e Status
Canal de comunicação seguro
Gateway/FireWall
Estação de gerenciamento
• Arquitetura– Módulo de Controle
• Usado para implementar a política de segurança de rede;
• Controla o módulo de filtragem de pacotes;
• Pode ser usado como um facilidade para visualizar login e controle de informação.
• Gerenciador de Serviços: define os serviços que são conhecidos para o sistema e que estão especificados na política de segurança( Telnet, FTP, HTTP, UDP, etc)
Firewall-1
Firewall-1• Arquitetura
– Módulo FireWall• O módulo de inspeção é dinamicamente carregado
no kernel do sistema operacional, entre a camada 2 e 3. Ele faz o gerenciamento dos pacotes que entram e saem da rede.
• Possibilita ao administrador definir regras de segurança onde não apenas a comunicação com a fonte, destino e serviços são verificados, mas o usuário também é autenticado.
• Rejeição de e-mails, acesso negado a URLs e checagem da vírus nas transferências de arquivos.
Firewall-1
7 Aplicação
6 Apresentação
5 Sessão
4 Transporte
3 Rede
2 Enlace
1 Física
Passar o
Pacote?
Opcional: log/Alerta
Pacote recebido
O pacote esta dentro das regras?
Mais alguma regra?
Enviar NACK
Pacote descartado
Sim
Sim
Sim
NãoNão
Não
Não
Firewall-1
7 Aplicação
6 Apresentação
5 Sessão
4 Transporte
3 Rede
2 Enlace
1 Física
Passar o Pacote?
Opcional: log/Alerta
Pacote recebido
O pacote esta dentro das regras?
Mais alguma regra?
Enviar NACK
Pacote descartado
Sim
SimNão
Não
Não
Setar a próxima
regra
Sim
Não
• Performance– Emprega diversas técnicas de otimização
• Rodando dentro do kernel do sistema operacional reduz processamento;
• otimização na filtragem de pacotes reduz o tempo gasto para executar as ações da filtragem;
• técnicas de gerenciamento de memória prove rápido acesso a recursos da rede.
Firewall-1
Conclusões
• Firewalls– maturidade tecnológica– política de segurança é garantida em um único
componente lógico– quanto maior o grau de segurança oferecido,
maiores os custos associados e menor a flexibilidade no oferecimento de serviços
– não substimar o tempo de implantação de um firewall, mesmo quando este for comprado. Não existe firewall “plug and play”