FIREWALLS

1
FIREWALLS

• Cristina Dutra de Aguiar Ciferri
• Ricardo Rodrigues Ciferri
• Sônia V. A. França
• cdac,rrc,svaf_at_di.ufpe.br

2
Firewalls

• Simples pontos de conexão entre duas redes não
  confiáveis
• Permitem que a comunicação seja monitorada e
  segura
• Propriedades
• todo tráfego deve passar pelo firewall
• somente o tráfego autorizado pode passar
• o firewall propriamente dito é imune de invasões

3
Firewalls
4
Firewall

• Seguro
• não é um host de propósito geral
• Ponto central para administração de serviços
• correio eletrônico
• ftp
• Garante política de segurança

5
Firewall

• Foco de decisões de segurança
• mais eficiente do que espalhar decisões e
  tecnologias de segurança
• Permite rastreamento
• origem das conexões
• quantidade de tráfego no servidor
• tentativa de quebra do sistema
• Limita a exposição

6
Firewall

• Não oferece proteção contra
• Ataques internos maliciosos
• Conexões que não passam pelo firewall
• Ameaças totalmente novas
• Vírus

7
Tecnologia

• Estática
• permitir qualquer serviço a menos que ele seja
  expressamente negado
• negar qualquer serviço a menos que ele seja
  expressamente permitido
• Dinâmica
• permitir/negar qualquer serviço para quando e por
  quanto tempo desejar

8
Componentes
9
Packet Filtering

• Funcionalidade
• roteia pacotes entre hosts internos e externos de
  maneira seletiva
• permite ou bloqueia a passagem de certos tipos de
  pacotes
• reflete a política de segurança do site
• Filtragem
• quando o pacote está chegando
• quando o pacote está saindo

10
Packet Filtering

• Filtragem baseada em
• endereços fonte e destino
• portas fonte e destino
• protocolo
• flags
• tipo da mensagem
• Exemplos
• bloqueie todas as conexões oriundas do host X
• permita apenas conexões SMTP

11
Packet Filtering
rede interna
12
Packet Filtering

• Screening Router
• determina se pode ou não enviar o pacote
• determina se deve ou não enviar o pacote
• Como o pacote pode ser roteado?
• O pacote deve ser roteado?

• Router
• verifica endereço de cada pacote
• escolhe melhor maneira de enviá-lo
• Como o pacote pode ser roteado?

13
Configuração

• Processo de três passos
• Determinar o que deve e o que não deve ser
  permitido
• política de segurança
• Especificar formalmente os tipos de pacotes
  permitidos
• expressões lógicas
• Reescrever as expressões de acordo com o produto

14
Exemplo

• Passo 1
• tráfego IP host externo confiável (172.16.51.50)
  e hosts da rede interna (192.168.10.0)
• Passo 2

15
Exemplo

• Passo 3
• Screend
• between host 172.16.51.50 and net 192.168.10
  accept
• between host any and host any reject
• Telebit NetBlazer
• permit 172.16.51.50/32 192.168.10/24 syn0 in
• deny 0.0.0.0/0 0.0.0.0/0 syn0 in
• permit 192.168.10/24 172.16.51.50/32 syn0 out
• deny 0.0.0.0/0 0.0.0.0/0 syn0 out

16
Filtragem por Endereço

• Características
• restringe o fluxo de pacotes baseado nos
  endereços fonte e destino
• não considera quais protocolos estão envolvidos
• Utilização
• permite a comunicação hosts externos e hosts
  internos
• Problema
• endereços podem ser inventados

17
Filtragem por Serviço
Internet
Firewall
rede interna
Outbound
18
Filtragem por Serviço
Internet
Firewall
rede interna
Outbound
19
Filtragem por Serviço
Internet
Firewall
rede interna
Inbound
20
Filtragem por Serviço
Internet
Firewall
rede interna
Inbound
21
Filtragem por Serviço
22
Packet Filtering

• Vantagens
• pode ajudar a proteger uma rede inteira
• não requer conhecimento ou cooperação do usuário
• disponível em vários roteadores
• baixo custo
• Desvantagens
• .........

23
Application-Level Gateway
24
Circuit-Level Gateway
circuit-level gateway
porta destino
porta fonte
TCP
IP
Acesso a Rede
servidor
cliente
25
Arquitetura de Firewalls

• Solução universal ?
• Problemas
• quais serviços serão disponibilizados ?
• qual o nível de risco ?
• qual a política de segurança ?
• Técnicas
• tempo, custo e conhecimento
• TELNET e SMTP ? packet filtering
• FTP e WWW ? proxy

26
Packet Filtering Architecture

• Screening Router é colocado entre uma rede
  interna e a Internet
• Controle do tráfego de rede endereços IP,
  portas, protocolo, flags, ...
• Nenhuma mudança é requerida nas aplicações
  cliente e servidor (pacotes)
• Simples ? mais comum e fácil de usar em sites
  pequenos
• Mas ....

27
Packet Filtering Architecture

• Problemas
• falha compromete toda a rede interna
• número de regras pode ser limitado
• desempenho x número de regras
• não é possível modificar serviços permite ou
  nega, mas não pode proteger operações individuais
• complexidade de configuração
• tratamento de exceções
• log dos pacotes que passaram

28
Dual-Homed Host Architecture
Multi-Homed Host várias interfaces de rede
(homes)
29
Dual-Homed Host Architecture

• Host 2 interfaces de rede (interna e Internet)
• Função de roteamento desabilitada
• pacotes não são roteados diretamente para outra
  rede ? não permite comunicação direta entre a
  rede interna e a Internet
• isolamento de tráfego entre as redes
• Acessível
• por hosts da rede interna
• por hosts da Internet
• requer alto nível de proteção

30
Dual-Homed Host Architecture

• Login diretamente no dual-homed host
• acesso aos serviços através da interface de rede
  externa (Internet)
• segurança do sistema pode ser comprometida
• vulnerabilidade de senhas
• usuário pode habilitar serviços inseguros
• dificuldade de monitoração e detecção de ataques
• baixo desempenho
• oferecimento de serviços indesejáveis

31
Dual-Homed Host Architecture
FTP proxy
interface
interface
Internet
ILUSÃO
FTP
servidor real
cliente interno
32
Screened Host Architecture
rede interna
33
Screened Host Architecture

• Problemas
• falha do roteador ? compromete segurança
  oferecida pelo bastion host
• ataque ao bastion host ? não há outra barreira
  entre a Internet e a rede interna
• visibilidade de tráfego interno coleta de senhas
  através de monitoração de seções telnet, ftp e
  rlogin, acesso a arquivos e/ou mails que estejam
  sendo lidos/acessados

34
(No Transcript)
35
Screened Subnet Architecture

• Visibilidade do tráfego
• via bastion host apenas para a DMZ
• ideal tráfego na DMZ não deve ser confidencial
• dados devem ser protegidos por criptografia
• Serviços externos
• via proxy
• conexão direta via packet filtering

36
(No Transcript)
37
Múltiplos BHs
FTP
SMTP2
WWW
rede perimetral - DMZ
Screened Subnet Architecture
desempenho, redundância, separação de dados e
serviços
rede interna
38
quebra não permite visibilidade do tráfego da
rede interna
externo
DMZ externa
bastion host
belt suspenders
DMZ interna
interno
rede interna
39
Produtos Comerciais

• Informações técnicas de produtos de firewall
• www.access.digex.net/bdboyle/firewall.vendor.html
  
• Grande variedade
• SecurIT Þ www.milkyway.com/prod.html
• Borderware Þ www.securecomputing.com
• Firewall-1 Þ www.CheckPoint.com
• ... Guardian Þ www2.ntfirewall.com/ntfirewall
• Freestone código fonte de produto comercial
• www.soscorp.com/products/Freestone.html

40
Firewall-1

• É um sistema de segurança de rede para criação e
  gerenciamento de firewall TCP/IP.
• Possibilita que empresas construam suas próprias
  políticas de segurança.
• Instalado em um servidor de gateway, o Firewall-1
  atua como um roteador seguro para passagem de
  tráfego entre companhias privadas e redes
  públicas.

41
Firewall-1

• Características
• Filtragem segura de pacotes
• Acesso seguro a Internet
• Acesso remoto seguro
• Redes Virtuais Privadas (VPN) para criar seguros
  túneis através de redes públicas inseguras
• Habilidade para definir a adicionar novos
  protocolos e serviços
• Auditoria e alerta.

42
Firewall-1

• Vantagens
• flexibilidade
• escalabilidade
• extensibilidade
• transparência
• suporte a múltiplos protocolos e tecnologia de
  rede

• pode ser distribuído sobre múltiplas plataformas
• requerimentos de conectividade sem causar impacto
  a performance da rede.

43
Firewall-1

• Requerimentos

44
Firewall-1

• Arquitetura
• Atua como um roteador seguro entre uma rede
  interna e uma rede externa.

45
Firewall-1

• Arquitetura
• Módulo de Controle inclui o módulo de
  gerenciamento e interface para o usuário
• Módulo FireWall inclui o módulo de inspeção,
  deamons do FireWall-1 e segurança dos servidores.
  Implementa política de segurança, log dos eventos
  e comunica-se com o módulo de controle através de
  deamons.

46
Firewall-1

• Arquitetura

47
Firewall-1

• Arquitetura
• Módulo de Controle
• Usado para implementar a política de segurança de
  rede
• Controla o módulo de filtragem de pacotes
• Pode ser usado como um facilidade para visualizar
  login e controle de informação.
• Gerenciador de Serviços define os serviços que
  são conhecidos para o sistema e que estão
  especificados na política de segurança( Telnet,
  FTP, HTTP, UDP, etc)

48
Firewall-1

• Arquitetura
• Módulo FireWall
• O módulo de inspeção é dinamicamente carregado no
  kernel do sistema operacional, entre a camada 2 e
  3. Ele faz o gerenciamento dos pacotes que entram
  e saem da rede.
• Possibilita ao administrador definir regras de
  segurança onde não apenas a comunicação com a
  fonte, destino e serviços são verificados, mas o
  usuário também é autenticado.
• Rejeição de e-mails, acesso negado a URLs e
  checagem da vírus nas transferências de arquivos.

49
Firewall-1
50
Firewall-1
51
Firewall-1

• Performance
• Emprega diversas técnicas de otimização
• Rodando dentro do kernel do sistema operacional
  reduz processamento
• otimização na filtragem de pacotes reduz o tempo
  gasto para executar as ações da filtragem
• técnicas de gerenciamento de memória prove rápido
  acesso a recursos da rede.

52
Conclusões

• Firewalls
• maturidade tecnológica
• política de segurança é garantida em um único
  componente lógico
• quanto maior o grau de segurança oferecido,
  maiores os custos associados e menor a
  flexibilidade no oferecimento de serviços
• não substimar o tempo de implantação de um
  firewall, mesmo quando este for comprado. Não
  existe firewall plug and play