FIREWALLS

1
FIREWALLS

• Edgard Jamhour

2
Riscos a Segurança de uma Rede
FILTRO
3
Tipos de Ameaças a Segurança de uma Rede

• Invasão de Rede (Network Intrusion)
• Alguém de fora acessa a uma máquina da rede com
  poderes de administrador.
• A invasão é feita descobrindo-se a senha ou
  usando algum furo escondido do sistema
  operacional.
• IP Address Spoofing
• Alguém da rede externa se faz passa por um IP da
  sua rede interna.
• Packet Sniffing
• Escuta do tráfego local que se propaga pela
  Ethernet.

4
Camada Física e Enlace de Dados

• Tecnologias de Redes Locais, como Ethernet,
  funcionam com broadcast físico, o que permite
  fazer sniffing na rede.

Se a interface do computador for colocada em
modo promíscuo, a informação pode ser
facilmente interceptada
destino 01-02-03-04-05-07
origem 01-02-03-04-05-06
MAC 01-02-03-04-05-08
MAC 01-02-03-04-05-07
MAC 01-02-03-04-05-06
sniffing
5
Switch Isolando Domínios de Colisão

• Packet sniffing pode ser combativo de duas
  formas com criptografia e com switches. Os
  computadores que estão conectados a portas
  isoladas de um switch são imunes a sniffing.

Mesmo domínio de broadcast
SWITCH
Não há possibilidade de sniffing
HUB
HUB
A
B
C
D
E
F
G
6
Filtragem de Pacotes
A filtragem de pacotes é feita com base nas
informações contidas no cabeçalho dos protocolos.
Aplicações
Seqüência de empacotamento
Protolco de Aplicação FTP, SMTP, HTTP, Telnet,
SNM, etc.
aplicação
TCP, UDP
transporte
IP
rede
Data Link Ethernet, Token Ring, FDDI, etc
enlace
Tecnologia heterogênea
Física
física
7
Implementação Física

• No software do Roteador screening routers
• No software de uma estação dedicada (um PC com
  duas placas de rede).

ROTEADOR
REDE EXTERNA
REDE INTERNA
FIREWALL
PERSONAL FIREWALL
ROTEADOR
REDE EXTERNA
REDE INTERNA
FIREWALL
8
Exemplo

• Roteadores Cisco
• PIX Firewall
• Firewall
• Roteador
• Proxy
• Detetor de ataques (SMTP, etc)
• Defesa contra fragmentação de IP
• Implementa VPN com IPsec
• Mais de 256K sessões simultâneas.

9
Exemplo

• Implementação por Software
• Check Point Firewall
• Interface Gráfica
• Módulo de Firewall
• Módulo de Gerenciamento
• Mútiplas Plataformas
• Windows, Solaris, Linux, HP-UX, IBM AIX
• Controle de Segurança e Qualidade de Serviço.

10
Segurança na Camada IP Roteamento Seletivo
REDE 200.134.51.X
Filtro
REDE 200.17.98.X
Roteador
Roteador
Roteador
11
Filtragem de Pacotes
Interface interna
O roteamento ou rejeição de pacotes é feito de
acordo com a política de segurança da empresa.
screening router
Interface externa
Internet
12
Exemplos de Objetivos do Roteamento Seletivo

• Bloquear todas as conexões que chegam de um
  sistema externo da rede interna, exceto conexões
  SMTP.
• Liberar conexões externas apenas para uma máquina
  específica da rede (e.g. servidor Web).
• Permitir aos usuários internos iniciarem conexões
  de Telnet com o meio externo, mas não o
  contrário.
• Liberar acesso a Internet apenas para algumas
  máquinas da rede interna.

13
Regras de Filtragem
Recebe pacote
Analisa Cabeçalho
S
OK para encaminhar?
Encaminhar Pacote
N
Precisa para bloquear?
S
Bloquear Pacote
N
S
Última Regra?
N
14
Exemplo

• AÇÃO
• permitir
• permitir
• negar

IP ORIGEM 200.17.98.0 200.17.98.255
IP DESTION 200.17.98.0 200.17.98.255
INTERFACE 1 (sair) 2 (entrar)

• Interpretação
• Geralmente, as regras são definidas
  individualmente para cada interface.
• Cada interface controla apenas os pacotes que
  entram no roteador.

Rede Externa Não -Confiável
Rede Interna Confiável
INTERFACE 1
INTERFACE 2
15
Filtragem com base nas Portas TCP e UDP

• As informações introduzidas no cabeçalho de
  controle dos protocolos TCP e UPD permitem
  identificar o tipo de serviço executado na
  Internet.
• Essa característica permite estabelecer regras
  diferenciadas para cada tipo de aplicação
  executada na Internet, ou numa Intranet.
• Por exemplo, é possível estabelecer regras de
  segurança que se aplique somente ao serviço de
  ftp ou somente ao serviço de telnet.

datagrama
PORTA DE DESTINO
PORTA DE ORIGEM
DADOS
16
Portas bem Conhecidas
0 . 1023

• Portas Bem conhecidas (well known ports)
• Função padronizada pela IANA (The Internet
  Assigned Numbers Authority)
• Geralmente usada pelos servidores de serviços
  padronizados.
• Portas livres
• Usadas pelos clientes e pelos serviços não
  padronizados

PORTAS TCP ou UDP
1024 . 65535
17
Exemplos de portas bem conhecidas
18
Exemplo de Regras de Filtragem


1 O símbolo "" indica que qualquer valor é
aceitável para regra.
19
ProblemaSpoofing de Porta

• Como diferenciar um ataque externo de uma
  resposta solicitada por um usuário interno?

1024
80
80
1024
Como evitar que a porta 80 seja usada para
atacar usuários internos?
É necessário liberar pacotes com porta de
origem 80 para que a resposta possa passar .
80
23
...
20
Característica da Comunicação TCP

• Comunicação bidirecional, confiável e orientada a
  conexão.
• O destino recebe os dados na mesma ordem em que
  foram transmitidos.
• O destino recebe todos os dados transmitidos.
• O destino não recebe nenhum dado duplicado.
• O protocolo TCP rompe a conexão se algumas das
  propriedades acima não puder ser garantida.

21
Flags TCP

• PSH Push Request
• RST Reset Connection
• SYN Synchronize Seqüence Number
• FIN Mais dados do transmissor

• RES Reservado (2 bits)
• URG Urgent Point
• ACK Acknowlegment

22
Flag ACK

• Uma conexão TCP sempre se inicia com o cliente
  enviando um pacote com o flag ACK 0.

ACK0
ACK1
ACK1
ACK1
...
tempo
tempo
23
Filtragem com Protocolo UDP

• Comunicação bidirecional, sem nenhum tipo de
  garantia.
• Os pacotes UDP podem chegar fora de ordem.
• Pode haver duplicação de pacotes.
• Os pacotes podem ser perdidos.
• Cada pacote UDP é independente é não contém
  informações equivalentes ao flag ACK dos pacotes.

24
Mensagem UDP

• As mensagens UDP não possuem flags de controle
  pois o protocolo UDP não oferece a mesma
  qualidade de serviço que o protocolo TCP.

25
Dynamic Packet Filtering com UDP

• Para poder criar regras sobre quem inicia uma
  comunicação no protocolo UDP, os roteadores
  precisam se lembrar das portas utilizadas.

...
tempo
tempo
26
Regras para Filtragem de Pacotes

• Implementação
• Analisar o cabeçalho de cada pacote que chega da
  rede externa, e aplicar uma série de regras para
  determinar se o pacote será bloqueado ou
  encaminhado.
• ESTRATÉGIAS
• A) TUDO QUE NÃO É PROIBIDO É PERMITIDO.
• B) TUDO QUE NÃO É PERMITIDO É PROIBIDO.

27
Exemplo TUDO QUE NÃO É PERMITIDO É PROIBIDO

• Ação
• permitir
• permitir
• negar

Protocolo tcp tcp
IP Origem interno
Porta Origem gt 1023 23
IP Destino interno
Porta Destino 23 gt 1023
ACK 1
Direção Sair Entrar

• Interpretação
• Hosts Internos podem acessar servidores de telnet
  internos ou externos.
• Hosts externos podem apenas responder a
  requisições, não podem iniciar um diálogo
  (estabelecer uma conexão).

28
Regras de Filtragem
Recebe pacote
Analisa Cabeçalho
S
OK para encaminhar?
Encaminhar Pacote
N
Precisa para bloquear?
S
Bloquear Pacote
N
S
Última Regra?
N
29
Exemplo
1
gt1023
23
gt1023
2
INTERNET
200.17.98.?
?.?.?.?
30
Exemplo
Ação permitir permitir permitir permitir negar
Protocolo tcp tcp tcp tcp
IP Origem interno interno
Porta Origem gt 1023 23 gt 1023 80
IP Destino interno interno
Porta Destino 23 gt 1023 80 gt 1023
ACK 1 1
Direção Out In In Out

• Interpretação
• Hosts Internos podem acessar servidores de telnet
  internos ou externos.
• Hosts externos podem acessar servidores de web
  internos.

31
Seqüência de Criação de Regras

• A seqüência na qual as regras são aplicadas pode
  alterar completamente o resultado da política de
  segurança. Por exemplo, as regras de aceite ou
  negação incondicional devem ser sempre as últimas
  regras da lista.

O deslocamento de uma regra genérica para cima
anula as demais.
Ação permitir permitir permitir permitir negar
Protocolo tcp tcp tcp tcp
IP Origem interno interno
Porta Origem gt 1023 23 gt 1023 23
IP Destino interno interno
Porta Destino 23 gt 1023 23 gt 1023
ACK 1 1
Direção Out In In Out
32
Desempenho do Filtro de Pacotes

• O processo de filtragem de pacotes exige que um
  certo processamento adicional seja executado pelo
  roteador para cada pacote que chega ou precisa
  ser transmitido.
• Dependendo da velocidade da linha de transmissão,
  esse processamento pode ou não causar uma
  degradação do desempenho da rede.

Ciclos CPU 100 MHz 286000 8000 1600 160 16
Conexão 56 Kbit/s 2 Mbit/s 10 Mbit/s 100
Mbit/s 1Gbit/s
Pacotes/s (20 bytes) 350 12500 62500 625000 6250
000
Tempo disponível 2.86 ms 80 ?s 16 ?s 1.6 ?s 0.16
?s
33
Exercício 1
200.17.98.0 255.255.255.0
gt1023
INTERNET
?.?.?.?
UDP 53
TCP 80
TCP 25
200.17.98.4
200.17.98.2
200.17.98.3
UDP 53
TCP 80
TCP 25
34
Exercício 1

• Defina as regras de filtragem implementar a
  seguinte política de segurança
• Os computadores da rede Interna podem acessar
  qualquer servidor Web na Internet.
• Computadores da rede Externa podem acessar apenas
  o servidor Web da rede Interna.
• O servidor DNS interno deve poder se comunicar
  com outros servidores DNS na Internet.
• O servidor de email interno deve poder se
  comunicar com outros servidores de email da
  Internet.
• Todos os demais acessos são proibidos.

35
Exercício 1
AÇÃO INTERFACE PROTOCOLO IP ORIGEM IP DESTINO PORTA ORIGEM PORTA DESTINO FLAG ACK









36
Arquiteturas de Filtros de Pacotes

• Filtros de Pacotes são os principais componentes
  dos Firewalls.

Estratégia de Firewall Filtros de Pacotes e
Gateways de Aplicação
Rede Interna Confiável
Rede Externa Não -Confiável
37
A - Definições

• Firewall
• Um componente ou conjunto de componentes que
  restringem o acesso entre um rede protegida e a
  Internet, ou entre outro conjunto de redes.
• Host
• Um computador conectado a rede.
• Bastion Host
• Um computador que precisa ser altamente
  protegido, pois é suscetível a sofrer ataques. O
  bastion host é um computador exposto
  simultaneamente a Internet e a rede interna.

38
Definições

• Dual-homed host
• Qualquer computador com duas interfaces (placas)
  de rede.
• Packet
• Unidade fundamental de comunicação na Internet.
• Packet Filtering (screening)
• Controle seletivo do fluxo de dados que entra e
  sai de uma rede.
• A filtragem de pacotes é feita especificando um
  conjunto de regras que determinam que tipos de
  pacotes (baseados em IP e portas) são permitidos
  e que tipos devem ser bloqueados.

39
Definições

• Perimeter Network
• Uma rede adicionada entre a rede protegida e uma
  rede externa, com o objetivo de proporcionar uma
  camada a mais de segurança. Também chamada de DMZ
  (De-Militarized Zone).
• Proxy Server
• Um programa que intermedia o contado de clientes
  internos com servidores externos.

40
B) Arquiteturas Básicas de Firewall

• I) Dual-Homed Host com Proxy
• II) Filtragem Simples de Pacotes
• III) DMZ (Rede de Perímetro)

41
Proteção por Tipos de IP

• IPs públicos
• Tem acesso a qualquer serviço na Internet.
• Podem ser protegidos por firewalls Filtragem
  Simples de Pacotes ou DMZ.
• IPs privados
• São naturalmente protegidos de acessos externos.
• Elementos são colocados na rede para permitir o
  seu acesso a serviços disponíveis na Internet.

42
I) Dual-Homed com Proxy
Hosts Internos
Rede com IPs Privados
IP privado
Interface interna
Proxy Bastion Host
Roteamento Desabilitado
Dual-Homed Host
Interface externa
IP público
INTERNET
43
Proteção com Roteador e NAT
Hosts Internos
Rede com IPs Privados
IP privado
Interface interna
Firewall
Roteamento Desabilitado
Roteador com NAT
Interface externa
IP público
INTERNET
44
II) Filtragem Simples
Bastion Host
Host Interno
Interface interna
Screening Router
FIREWALL
Interface externa
INTERNET
45
Regras de Filtragem

• O bastion host é diferenciado dos demais
  computadores pelas regras do filtro de pacotes.
• No exemplo abaixo, o bastion host é o único
  computador que pode receber conexões externas.
  Todavia, o único serviço habilitado é o http.

Ação permitir permitir permitir permitir negar
Protocolo tcp tcp tcp tcp
IP Origem interno b.host
Porta Origem gt 1023 gt 1023 80
IP Destino interno b.host
Porta Destino gt 1023 80 gt 1023
ACK 1
Direção Out In In Out
46
III) Rede de Perímetro (DMZ)
Host Interno
Rede Interna
Roteador Interno
Bastion Host
DMZ - Rede de Perímetro
Roteador Externo
Internet
47
Roteador Interno (Choke Router)

• Protege a rede interna da rede externa e da rede
  de perímetro.
• É responsável pela maioria das ações de filtragem
  de pacotes do firewall.

Ação permitir permitir negar
Protocolo tcp tcp
IP Origem interno
Porta Origem gt 1023
IP Destino interno
Porta Destino gt 1023
ACK 1
Direção Out In
EXEMPLO DE REGRAS PARA O CHOKE ROUTER
48
Roteador Externo (Access Router)

• Protege a rede interna e a rede de perímetro da
  rede externa.
• Muitas vezes, a função o roteador externo está
  localizado no provedor de acesso.
• Em geral, utiliza regras de filtragem pouco
  severas.

Ação permitir permitir permitir permitir negar
Protocolo tcp tcp tcp tcp
IP Origem interno dmz
Porta Origem gt 1023 gt 1023
IP Destino interno dmz
Porta Destino gt 1023 gt 1023
ACK 1
Direção Out In In Out
EXEMPLO DE REGRAS PARA O ACCESS ROUTER
49
Rede de Perímetro com Proxy
Hosts Internos Com IPs Privados
Rede Interna
Servidor Proxy
Bastion Host
DMZ - Rede de Perímetro
Roteador Externo
Internet
50
EXERCÍCIO
200.0.0.3
200.0.0.1
200.0.0.2
Hosts Interno
Rede Interna
200.0.0.4
I1
Roteador Interno
Bastion Host
200.1.0.1
200.1.0.2
I2
200.1.0.3
DMZ - Rede de Perímetro
E1
Roteador Externo
200.2.0.1
E2
Internet
51
DEFINIÇÃO DAS ROTAS

• Indique as Rotas que Devem Existir
• A) Computadores da Rede Interna
• B) Roteador Interno
• C) Bastion Host
• D) Roteador Externo

52
EXERCÍCIO

• Defina as regras para filtragem de pacotes dos
  roteadores da arquitetura DMZ para
• A) Permitir aos computadores externos acessarem o
  serviço HTTP no bastion HOST.
• B) Permitir aos computadores externos acessar o
  serviço SMTP no bastion HOST.
• C) Permitir aos usuários internos acessarem o
  serviço POP, SMTP e HTTP no bastion HOST.
• D) Permitir aos usuários internos acessarem
  qualquer servidor HTTP externo.
• E) Proibir todos os demais acessos.

53
Roteador Interno
AÇÃO INTERFACE PROTOCOLO IP ORIGEM IP DESTINO PORTA ORIGEM PORTA DESTINO FLAG ACK









54
Roteador Externo
AÇÃO INTERFACE PROTOCOLO IP ORIGEM IP DESTINO PORTA ORIGEM PORTA DESTINO FLAG ACK









55
Novas Tecnologias para Firewalls

• PARTE 1
• Stateful Inspection
• PARTE 2
• IP Sec
• PARTE 3
• Integração com Serviços de Diretório (LDAP)

56
Stateful Inspection

• As primeiras gerações de firewall eram ditos
  "stateless".
• Cada pacote é analisado individualmente, sem
  levar em conta pacotes anteriores trocados na
  mesma conexão.
• Os firewalls baseados em filtros de pacotes não
  olham o conteúdo dos protocolos de aplicação.
• Uma alternativa para os filtros de pacotes são os
  gateways de aplicação.
• Gateways de aplicação (Proxy) são "stateful"
  Isto é, eles guardam o estado das conexões
  inciadas pelos clientes.
• Alguns tipos de gateways de aplicação (Proxy) são
  capazes de analisar o conteúdo dos pacotes.
• Todavia, são dependentes da aplicação (não
  funcionam para aplicações desconhecidas) e tem
  baixo desempenho.

57
Filtro de Pacotes

• Usualmente implementado em roteadores.
• São idependentes da aplicação (analisam apenas
  informações de IP e Porta).
• Tem alto desempenho.

58
Filtro de Pacotes Problemas de Segurança

• São stateless
• Precisam liberar todas as portas de cliente (gt
  1023) para permitir uma comunicação FTP.
• Apenas duas opções
• Ou libera-se todas as portas ou bloqueia-se o
  serviço todo.

59
Application Layer Gateways

• Usualmente Implementados em Servidores.
• Duas versões
• Dependentes de Aplicação
• Examinam o conteúdo dos pacotes, incluido os
  protoclos de aplicação.
• Não abrem as portas dos clientes.
• Socks
• Não precisa examinar o conteúdo.

60
Socks Proxy

• Um proxy pode ser configurado de duas maneiras
• A) Em cada aplicação cliente
• Browser, FTP, etc.
• B) No sistema operacional
• Substituindo o driver de sockets.
• Neste caso, o cliente e o proxy conversam através
  de um protocolo denominado Socks.
• Este protocolo redireciona todos as informações
  transmitidas pelo cliente par ao Proxy, e inclui
  novos campos para identificar o destino das
  mensagens.

Aplicação
Aplicação
Socks
Sockets
TCP
UDP
WinSock
IP
61
Procolo Socks

• A versão corrente do protocolo SOCKs é 5.0
• RFC1928 suporta TCP , UDP e autenticação
• As implementações atuais, entretanto, estão na
  versão 4
• Suporta apenas TCP.
• Algumas soluções proprietárias suportam também
  ICMP.

IP destino, Porta Destino
CONNECT IP_Destino, Porta_Destino, UserID
Server
PORTA
Socks Proxy
PORTA
Cliente Socks
62
Application Layer GatewayProblemas de Desempenho

• Quebram o esquema cliente-servidor (o proxy cria
  uma nova conexão para cada cliente).
• O número de sessões no Gateway é duplicado.
• Cada conexão mantém um processo no Proxy.

63
Stateful Inspection

• Tecnologia Desenvolvida pela CheckPoint.
• Implementa o conceito de estado sem criar novas
  conexões no roteador.
• Um módulo de software analisa permanentemente o
  conteúdo dos pacotes que atravessam o firewall.
• As informações relevantes dos pacotes são
  armazenadas em tabelas dinâmicas para porterior
  uso.
• A decisão quanto a passagem ou não de um pacote
  leva em conta o conteúdo de pacotes anteriormente
  trocados na mesma conexão.

64
Stateful Inspection

• Para poder criar regras sobre quem inicia uma
  comunicação, o firewall armazena informações
  sobre as portas utilizadas pelo cliente.

...
tempo
tempo
65
Stateful Inspection

• Analisa o conteúdo dos pacotes sem quebrar o
  modelo cliente servidor.
• A informação de estado é capturada quando o
  pacote através o firewall e armazenadas em
  tabelas dinâmicas.

66
Stateful Inspection

• Quando o cliente requisita um serviço FTP, o
  Firewall armazena a porta utilizada numa tabela
  dinâmica, não liberando nenhuma outra porta do
  cliente.

67
Segurança de Conteúdo

• Além das informações de portas, as informações de
  conteúdo também são utilizadas pelo Firewall.
• Normalmente, apenas os protocolos mais comuns são
  analisados.
• HTTP Permite Filtrar
• Métodos de acesso (GET, POST), URLs (".sk"), etc
• TAGS em HTML com referências a Applets em Java ou
  Objetos Active X.
• Dowload de certos tipos MIME.
• FTP Permite Filtrar
• Comandos específicos (PUT, GET), Nomes de Arquivo
• Pode disparar antivirus para verificação de
  arquivos.
• SMTP Permite criar regras de Filtragem baseadas
• Nos campos FROM e TO
• Tipo MIME
• Etc.

68
Integração com Métodos de Autenticação

• Firewalls com Tecnlogia Stateful permitem criar
  regras de filtragem baseados no login do usuário
  ao invés do endereço IP.
• Estas técnicas simplificam o processo de criar
  regras de filtragem pois o usuário pode acesar o
  serviço independentemente da máquina que estiver
  usando.
• Esta tecnologia só é possível para firewalls
  "Stateful".
• Três métodos são usualmente disponíveis
• User Authentication (transparente)
• Session Autentication
• Mapeamento Transparente do Usuário em Endereço

69
Integração com Métodos de Autenticação

• User Authentication (transparente)
• Permite a usuário remoto acessar um serviço da
  rede independente do seu IP.
• O firewall reconhece o login do usuário
  analisando o conteúdo dos protocolos FTP, HTTP,
  TELNET e RLOGIN.
• Session Authentication
• Quando o usuário tenta acessar um serviço da rede
  o Firewall envia para o cliente um pedido de
  login (challange message).
• O cliente deve ter um software especial para
  confirmar a senha.
• Só então o acesso é permitido (ou negado).

70
Integração com Métodos de Autenticação

• Mapeamento Transparente entre Usuário e Endereço
• O Firewall captura mensagens DHCP para as
  máquinas.
• O Firewall captura as mensagens de login trocadas
  entre o usuário e o servidores de domínio da
  rede.
• CHECK POINT, por exemplo, suporta as mensagens do
  Windows NT.
• O usuário não se loga no Firewall, o sucesso do
  login é identificado pelo Firewall também
  capturando as mensagens do servidor.