710 likes | 913 Views
FIREWALLS. Edgard Jamhour. Invasão. sniffing. Invasão. spoofing. Riscos a Segurança de uma Rede. FILTRO. Tipos de Ameaças a Segurança de uma Rede. Invasão de Rede (Network Intrusion) Alguém de fora acessa a uma máquina da rede com poderes de administrador.
E N D
FIREWALLS Edgard Jamhour
Invasão sniffing Invasão spoofing Riscos a Segurança de uma Rede FILTRO
Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion) • Alguém de fora acessa a uma máquina da rede com poderes de administrador. • A invasão é feita descobrindo-se a senha ou usando algum “furo” escondido do sistema operacional. • IP Address Spoofing • Alguém da rede externa se faz passa por um IP da sua rede interna. • Packet Sniffing • Escuta do tráfego local que se propaga pela Ethernet.
Camada Física e Enlace de Dados • Tecnologias de Redes Locais, como Ethernet, funcionam com broadcast físico, o que permite fazer sniffing na rede. Se a interface do computador for colocada em modo promíscuo, a informação pode ser facilmente interceptada destino 01-02-03-04-05-07 origem 01-02-03-04-05-06 MAC 01-02-03-04-05-08 MAC 01-02-03-04-05-07 MAC 01-02-03-04-05-06 sniffing
Switch: Isolando Domínios de Colisão • Packet sniffing pode ser combativo de duas formas: com criptografia e com switches. Os computadores que estão conectados a portas isoladas de um switch são imunes a sniffing. Mesmo domínio de broadcast SWITCH Não há possibilidade de sniffing HUB HUB A B C D E F G
Filtragem de Pacotes A filtragem de pacotes é feita com base nas informações contidas no cabeçalho dos protocolos. Aplicações Seqüência de empacotamento Protolco de Aplicação FTP, SMTP, HTTP, Telnet, SNM, etc. aplicação TCP, UDP transporte IP rede Data Link Ethernet, Token Ring, FDDI, etc enlace Tecnologia heterogênea Física física
Implementação Física • No software do Roteador: screening routers • No software de uma estação dedicada (um PC com duas placas de rede). ROTEADOR REDE INTERNA REDE EXTERNA FIREWALL PERSONAL FIREWALL ROTEADOR REDE EXTERNA REDE INTERNA FIREWALL
Exemplo • Roteadores Cisco • PIX Firewall • Firewall • Roteador • Proxy • Detetor de ataques (SMTP, etc) • Defesa contra fragmentação de IP • Implementa VPN com IPsec • Mais de 256K sessões simultâneas.
Exemplo • Implementação por Software • Check Point Firewall • Interface Gráfica • Módulo de Firewall • Módulo de Gerenciamento • Mútiplas Plataformas • Windows, Solaris, Linux, HP-UX, IBM AIX • Controle de Segurança e Qualidade de Serviço.
Bloquear pacotes destinados a uma rede diferente de 200.17.134.X Bloquear pacotes recebidos de uma rede diferente de 200.17.134.X Segurança na Camada IP = Roteamento Seletivo REDE 200.134.51.X REDE 200.17.98.X Filtro Roteador Roteador Roteador
Filtragem de Pacotes Interface interna O roteamento ou rejeição de pacotes é feito de acordo com a política de segurança da empresa. screening router Interface externa Internet
Exemplos de Objetivos do Roteamento Seletivo • Bloquear todas as conexões que chegam de um sistema externo da rede interna, exceto conexões SMTP. • Liberar conexões externas apenas para uma máquina específica da rede (e.g. servidor Web). • Permitir aos usuários internos iniciarem conexões de Telnet com o meio externo, mas não o contrário. • Liberar acesso a Internet apenas para algumas máquinas da rede interna.
Regras de Filtragem Recebe pacote Analisa Cabeçalho S OK para encaminhar? Encaminhar Pacote N Precisa para bloquear? S Bloquear Pacote N S Última Regra? N
Exemplo INTERFACE 1 (sair) 2 (entrar) * IP ORIGEM 200.17.98.0: 200.17.98.255 * * IP DESTION * 200.17.98.0: 200.17.98.255 * AÇÃO permitir permitir negar • Interpretação: • Geralmente, as regras são definidas individualmente para cada interface. • Cada interface controla apenas os pacotes que entram no roteador. Rede Interna Confiável Rede Externa Não -Confiável INTERFACE 1 INTERFACE 2
Filtragem com base nas Portas TCP e UDP • As informações introduzidas no cabeçalho de controle dos protocolos TCP e UPD permitem identificar o tipo de serviço executado na Internet. • Essa característica permite estabelecer regras diferenciadas para cada tipo de aplicação executada na Internet, ou numa Intranet. • Por exemplo, é possível estabelecer regras de segurança que se aplique somente ao serviço de ftp ou somente ao serviço de telnet. datagrama PORTA DE DESTINO PORTA DE ORIGEM DADOS
Portas bem Conhecidas • Portas Bem conhecidas (well known ports): • Função padronizada pela IANA (The Internet Assigned Numbers Authority) • Geralmente usada pelos servidores de serviços padronizados. • Portas livres: • Usadas pelos clientes e pelos serviços não padronizados 0 …. 1023 PORTAS TCP ou UDP 1024 …. 65535
regra ação interface/ sentido protocolo IP origem IP destino Porta origem Porta destino Flag ACK 1 aceitar rede interna/ para fora TCP interno externo > 1024 80 *[1] 2 aceitar rede externa/ para dentro TCP externo interno 80 > 1023 1 3 rejeitar * * * * * * * Exemplo de Regras de Filtragem [1] O símbolo "*" indica que qualquer valor é aceitável para regra.
Problema:Spoofing de Porta • Como diferenciar um ataque externo de uma resposta solicitada por um usuário interno? 1024 80 80 1024 Como evitar que a porta 80 seja usada para atacar usuários internos? É necessário liberar pacotes com porta de origem 80 para que a resposta possa passar . 80 23 ...
Característica da Comunicação TCP • Comunicação bidirecional, confiável e orientada a conexão. • O destino recebe os dados na mesma ordem em que foram transmitidos. • O destino recebe todos os dados transmitidos. • O destino não recebe nenhum dado duplicado. • O protocolo TCP rompe a conexão se algumas das propriedades acima não puder ser garantida.
Flags TCP • PSH: Push Request • RST: Reset Connection • SYN: Synchronize Seqüence Number • FIN: Mais dados do transmissor • RES: Reservado (2 bits) • URG: Urgent Point • ACK: Acknowlegment
Flag ACK • Uma conexão TCP sempre se inicia com o cliente enviando um pacote com o flag ACK= 0. ACK=0 ACK=1 ACK=1 ACK=1 ... tempo tempo
Filtragem com Protocolo UDP • Comunicação bidirecional, sem nenhum tipo de garantia. • Os pacotes UDP podem chegar fora de ordem. • Pode haver duplicação de pacotes. • Os pacotes podem ser perdidos. • Cada pacote UDP é independente é não contém informações equivalentes ao flag ACK dos pacotes.
Mensagem UDP • As mensagens UDP não possuem flags de controle pois o protocolo UDP não oferece a mesma qualidade de serviço que o protocolo TCP.
200.0.0.1:1025>>> 210.0.0.2:53 210.0.0.2:53>>> 200.0.0.1:1025 210.0.0.2:53>>> 200.0.0.1:1026 210.0.0.2:53>>> 200.0.0.2:1025 Dynamic Packet Filtering com UDP • Para poder criar regras sobre quem inicia uma comunicação no protocolo UDP, os roteadores precisam se lembrar das portas utilizadas. ... tempo tempo
Regras para Filtragem de Pacotes • Implementação: • Analisar o cabeçalho de cada pacote que chega da rede externa, e aplicar uma série de regras para determinar se o pacote será bloqueado ou encaminhado. • ESTRATÉGIAS • A) TUDO QUE NÃO É PROIBIDO É PERMITIDO. • B) TUDO QUE NÃO É PERMITIDO É PROIBIDO.
Exemplo: TUDO QUE NÃO É PERMITIDO É PROIBIDO Ação permitir permitir negar Direção Sair Entrar * Protocolo tcp tcp * IP Origem interno * * IP Destino * interno * Porta Origem > 1023 23 * Porta Destino 23 > 1023 * ACK * 1 * • Interpretação: • Hosts Internos podem acessar servidores de telnet internos ou externos. • Hosts externos podem apenas responder a requisições, não podem iniciar um diálogo (estabelecer uma conexão).
Regras de Filtragem Recebe pacote Analisa Cabeçalho S OK para encaminhar? Encaminhar Pacote N Precisa para bloquear? S Bloquear Pacote N S Última Regra? N
INTERFACE 1 Ação permitir negar Protocolo tcp * IP Origem 200.17.98.0:24 * IP Destino * * Porta Origem > 1023 * Porta Destino 23 * ACK * * INTERFACE 2 Ação permitir negar Protocolo tcp * IP Origem * * IP Destino 200.17.98.0:24 * Porta Origem 23 * Porta Destino > 1023 * ACK 1 * Exemplo >1023 1 23 >1023 2 INTERNET 200.17.98.? ?.?.?.?
Exemplo Ação permitir permitir permitir permitir negar Direção Out In In Out * Protocolo tcp tcp tcp tcp * IP Origem interno * * interno * IP Destino * interno interno * * Porta Origem > 1023 23 > 1023 80 * Porta Destino 23 > 1023 80 > 1023 * ACK * 1 * 1 * • Interpretação: • Hosts Internos podem acessar servidores de telnet internos ou externos. • Hosts externos podem acessar servidores de web internos.
Seqüência de Criação de Regras • A seqüência na qual as regras são aplicadas pode alterar completamente o resultado da política de segurança. Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista. O deslocamento de uma regra genérica para cima anula as demais. Ação permitir permitir permitir permitir negar Direção Out In In Out * Protocolo tcp tcp tcp tcp * IP Origem interno * * interno * IP Destino * interno interno * * Porta Origem > 1023 23 > 1023 23 * Porta Destino 23 > 1023 23 > 1023 * ACK * 1 * 1 *
Desempenho do Filtro de Pacotes • O processo de filtragem de pacotes exige que um certo processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido. • Dependendo da velocidade da linha de transmissão, esse processamento pode ou não causar uma degradação do desempenho da rede. Conexão 56 Kbit/s 2 Mbit/s 10 Mbit/s 100 Mbit/s 1Gbit/s Pacotes/s (20 bytes) 350 12500 62500 625000 6250000 Tempo disponível 2.86 ms 80 s 16 s 1.6 s 0.16 s Ciclos CPU 100 MHz 286000 8000 1600 160 16
Exercício 1 200.17.98.0 255.255.255.0 >1023 INTERNET ?.?.?.? UDP 53 TCP 80 TCP 25 200.17.98.4 200.17.98.2 200.17.98.3 UDP 53 TCP 80 TCP 25
Exercício 1 • Defina as regras de filtragem implementar a seguinte política de segurança: • Os computadores da rede Interna podem acessar qualquer servidor Web na Internet. • Computadores da rede Externa podem acessar apenas o servidor Web da rede Interna. • O servidor DNS interno deve poder se comunicar com outros servidores DNS na Internet. • O servidor de email interno deve poder se comunicar com outros servidores de email da Internet. • Todos os demais acessos são proibidos.
Arquiteturas de Filtros de Pacotes • Filtros de Pacotes são os principais componentes dos Firewalls. Estratégia de Firewall Filtros de Pacotese Gateways de Aplicação Rede Interna Confiável Rede Externa Não -Confiável
A - Definições • Firewall • Um componente ou conjunto de componentes que restringem o acesso entre um rede protegida e a Internet, ou entre outro conjunto de redes. • Host • Um computador conectado a rede. • Bastion Host • Um computador que precisa ser altamente protegido, pois é suscetível a sofrer ataques. O bastion host é um computador exposto simultaneamente a Internet e a rede interna.
Definições • Dual-homed host • Qualquer computador com duas interfaces (placas) de rede. • Packet • Unidade fundamental de comunicação na Internet. • Packet Filtering (screening) • Controle seletivo do fluxo de dados que entra e sai de uma rede. • A filtragem de pacotes é feita especificando um conjunto de regras que determinam que tipos de pacotes (baseados em IP e portas) são permitidos e que tipos devem ser bloqueados.
Definições • Perimeter Network • Uma rede adicionada entre a rede protegida e uma rede externa, com o objetivo de proporcionar uma camada a mais de segurança. Também chamada de DMZ (De-Militarized Zone). • Proxy Server • Um programa que intermedia o contado de clientes internos com servidores externos.
B) Arquiteturas Básicas de Firewall • I) Dual-Homed Host com Proxy • II) Filtragem Simples de Pacotes • III) DMZ (Rede de Perímetro)
Proteção por Tipos de IP • IP’s públicos • Tem acesso a qualquer serviço na Internet. • Podem ser protegidos por firewalls: Filtragem Simples de Pacotes ou DMZ. • IP’s privados • São naturalmente protegidos de acessos externos. • Elementos são colocados na rede para permitir o seu acesso a serviços disponíveis na Internet.
I) Dual-Homed com Proxy Hosts Internos Rede com IP’s Privados IP privado Interface interna Proxy Bastion Host Roteamento Desabilitado Dual-Homed Host Interface externa IP público INTERNET
Proteção com Roteador e NAT Hosts Internos Rede com IP’s Privados IP privado Interface interna Firewall Roteamento Desabilitado Roteador com NAT Interface externa IP público INTERNET
II) Filtragem Simples Bastion Host Host Interno Interface interna Screening Router FIREWALL Interface externa INTERNET
Regras de Filtragem • O bastion host é diferenciado dos demais computadores pelas regras do filtro de pacotes. • No exemplo abaixo, o bastion host é o único computador que pode receber conexões externas. Todavia, o único serviço habilitado é o http. Ação permitir permitir permitir permitir negar Direção Out In In Out * Protocolo tcp tcp tcp tcp * IP Origem interno * * b.host * IP Destino * interno b.host * * Porta Origem > 1023 * > 1023 80 * Porta Destino * > 1023 80 > 1023 * ACK * 1 * * *
III) Rede de Perímetro (DMZ) Host Interno Rede Interna Roteador Interno Bastion Host DMZ - Rede de Perímetro Roteador Externo Internet
Roteador Interno (Choke Router) • Protege a rede interna da rede externa e da rede de perímetro. • É responsável pela maioria das ações de filtragem de pacotes do firewall. Ação permitir permitir negar Direção Out In * Protocolo tcp tcp * IP Origem interno * * IP Destino * interno * Porta Origem > 1023 * * Porta Destino * > 1023 * ACK * 1 * EXEMPLO DE REGRAS PARA O CHOKE ROUTER
Roteador Externo (Access Router) • Protege a rede interna e a rede de perímetro da rede externa. • Muitas vezes, a função o roteador externo está localizado no provedor de acesso. • Em geral, utiliza regras de filtragem pouco severas. Ação permitir permitir permitir permitir negar Direção Out In In Out * Protocolo tcp tcp tcp tcp * IP Origem interno * * dmz * IP Destino * interno dmz * * Porta Origem > 1023 * > 1023 * * Porta Destino * > 1023 * > 1023 * ACK * 1 * * * EXEMPLO DE REGRAS PARA O ACCESS ROUTER
Rede de Perímetro com Proxy Hosts Internos Com IP’s Privados Rede Interna Servidor Proxy Bastion Host DMZ - Rede de Perímetro Roteador Externo Internet
EXERCÍCIO 200.0.0.3 200.0.0.1 200.0.0.2 Hosts Interno Rede Interna 200.0.0.4 I1 Roteador Interno Bastion Host 200.1.0.1 200.1.0.2 I2 200.1.0.3 DMZ - Rede de Perímetro E1 Roteador Externo 200.2.0.1 E2 Internet