Embed Size (px)
Citation preview
FIREWALL ::
Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP.
Com a instalação de nosso Firewall, a sua rede interna contará com:✔ Compartilhamento do link para todos os computadores da rede.✔ Alto nível de proteção contra invasões por vírus e worms.✔ Alto nível de proteção contra invasão por Hackers, Script-Kidies etc..✔ Estabilidade (poucos problemas com paradas do sistema).✔ Confiabilidade (segurança e correto funcionamento)✔ Possibilidade de hospedar um servidor WEB, E-mail e outros serviços.✔ Controlar o que os usuários acessam na internet, inclusive MSN.✔ Economia de banda do seu link, evitando upgrades desnecessários.✔ Proteção contra download de arquivos com vírus e Phishing
A maioria dos nossos Firewalls são produzidos pela instalação de uma distribuição deGNU/Linux com Iptables, sinônimo de estabilidade e segurança.
Principais características:Existem diferentes características presentes no sistema, dependendo do tipo deFirewall contratado. Abaixo, estão listadas as principais possibilidades.✔ Não há limite de regras impostas pelo sistema. Seu limite é a capacidade de memória eprocessamento do hardware onde está instalado o Firewall.✔ Não há limite de conexões simultâneas impostas artificialmente. Sua empresa poderáutilizar todo o potencial de uma rede TCP/IP.✔ Filtro de pacotes "stateful" (Ipv4) – NETFILTER/IPTABLES✔ NAT - Network Address Translation (NAT/NAPT), permite o compartilhamento de toda arede interna bem como acesso remoto aos serviços internos (escritório virtual).✔ Servidor próprio de DNS.✔ Possibilidade de criação de DMZ, uma rede separada para acolher os servidores WEB, Emaile outros serviços expostos à Internet.✔ Estatísticas de uso da rede, consumo do link (MRTG), e ataques (ACID).✔ Interface WEB para administração (restrita aos IPs escolhidos).✔ Interface SSH para administração (restrita aos IPs escolhidos).✔ Backup automatizado das configurações, em mídia local ou em rede e CD derecuperação da instalação inicial.✔ IDS - Detecção de intrusão embutido (SNORT).✔ “Load-balance” dos links, dividindo a carga entre eles (Round Robin).✔ “Fail-Over” entre os links (Roteamento avançado IPROUROUTE 2).✔ Criação de VPN's baseadas em SSL, sem limite de túneis impostos pelo sistema.✔ DNS Fail-Over, para clientes com links de duas ou mais operadoras distintas.Firewall
Várias pesquisas mostraram que a “Internet” é o principal ponto utilizado para realizar invasões. Em2002, segundo uma pesquisa feita pela módulo, 43% das empresas sofreram algum tipo de ataque ouinvasão. Em 2003, esta valor subiu para 77%. E os hackers brasileiros são internacional considerados comoos melhores do mundo.Outro fator importante é que “... quanto mais tempo ficamos conectados à internet, maiores são aschances de sermos invadidos ou infectados por malwares ...”. Isto tudo pois o Ipv4, versão atualmente emuso da pilha de protocolos TCP/IP, não foi projetado para assegurar a integridade das informações e realizaro controle de acesso apropriado. Deste modo, a forma preferida de se violar uma rede tem sido o uso depequenas falhas na implementação de serviços e protocolos baseados no TCP/IP.
6.1) O papel do Firewall no contexto atual das redes de computadoresA principal função de um firewall é proteger os dados da rede interna, aquela que não estáconectada a internet, de ataques vindos da rede externa, normalmente a internet. Ou seja, tem por objetivoimpedir acessos lógicos não autorizados a um determinado ambiente.Neste modelo, o firewall geralmente é a única máquina diretamente conectada a rede externa, mascada nó da rede pode e deve ter seu próprio firewall ativo, mas neste caso sua funcionalidade está restrita aproteção local, incluindo possíveis infecções e proliferações de malwares na rede interna.Outro uso freqüente dos firewalls é ser utilizado para filtrar quem pode acessar máquinas da redeinterna a partir da internet, este tipo de filtragem normalmente é baseada no endereço IP a origem daconexão e em alguns casos em seu Mac Adress.
6.2) HistóricoProf. Luís Rodrigo de O. Gonçalves :: [email protected] :: www.lrodrigo.cjb.net Página 26 de 71Apostila do Curso de Segurança Apostila do Curso de Segurança – DRAF 0.4 - Petrópolis, 5 de Março de 2005
6.3) Tipos de FirewallExistem várias classificações para os firewalls, contudo as mais comuns são: Filtro de Pacotes,Firewall NAT e Híbridos.Os filtros de pacotes, realizam o controle de todo fluxo de dados direcionado ao host. Através daanálise dos cabeçalhos dos pacotes nos vários níveis da arquitetura de rede são capazes de comparar seusconteúdos com regras de controle de acesso (ACLs) préviamente definidas e então liberar ou nãodeterminado fluxo de dados.Já um firewall NAT manipula a rota padrão de pacotes que atravessam o kernel do host, ele realizaa tradução dos endereços de origem, de destino e algumas vezes pode inclusive realizar umredirecionamento de porta. Este firewall pode ser classificado como: SNAT, DNAT e Masquerading.Um firewall SNAT normalmente é utilizado para fornecer acesso a uma rede privada apartir de umou vários endereços IP fixo. Já o Masquerading realiza a mesma função só que sobre endereços . E umfirewell baseado em DNAT pode ser utilizado na construção de uma DMZ ou de um cluster de servidores.
O terceiro tipo de firewall seria o híbrido, que é aquele que realiza tanto filtragem de pacote quandoredirecionamento (NAT).Outra forma de classificação dos firewall é quanto sua forma de atuação dentro da pilha RM/OSI,neste caso os firewalls podem ser classificados como de Rede ou Gateways de Aplicativos.Os Firewalls de nível de Rede são na verdade roteadores com grande capacidade de filtragem depacote, permitem que haja uma restrição a nível de endereço, protocolo, número da porta e conteúdo. Sãofácil implementação, porém quando mal configurados estão sujeitos a ataques do tipo spoofing. Mas afiltragem normalmente impacta o processo de roteamento, de modo que podemos afirmar que: “odesempenho do roteador é inversamente proporcional ao nível de filtragem imposta”Já os firewalls gateways de aplicativo, normalmente funcionam como pontes entre duas redes, ospacotes provenientes de fora da rede passam primeiro pelo gateways, que age como um filtro escondendoassim a rede interna.Todos os tipos de firewall possuem suas limitações, o de nível de rede possui uma visão muitolimitada do que realmente acontece na rede. Já os gateways de aplicativo tem um conhecimento maiorsobre a aplicação, porém são soluções específicas para cada aplicativo. Um dos firewalls de aplicativos
Melhor acima
[editar] Proxy Firewall ou Gateways de Aplicação
Os conceitos de Gateways de aplicação (application-level gateways) e "bastion hosts" foram introduzidos por Marcus Ranum em 1995. Trabalhando como uma espécie de eclusa, o firewall de proxy trabalha recebendo o fluxo de conexão, tratando as requisições como se fosse uma aplicação e originando um novo pedido sob a responsabilidade do mesmo firewall (non-transparent proxy) para o servidor de destino. A resposta para o pedido é recebida pelo Firewall e analisada antes de ser entregue para o solicitante original.
Os gateways de aplicações conectam as redes corporativas à Internet através de estações seguras (chamadas de bastion hosts) rodando aplicativos especializados para tratar e filtrar os dados (os proxy firewalls). Estes gateways, ao receberem as requisições de acesso dos usuários e realizarem uma segunda conexão externa para receber estes dados, acabam por esconder a identidade dos usuários nestas requisições externas, oferecendo uma proteção adicional contra a ação dos crackers.
[editar] Desvantagens
Para cada novo serviço que aparece na Internet, o fabricante deve desenvolver o seu correspondente agente de Proxy. Isto pode demorar meses, tornando o cliente vulnerável enquanto o Fabricante não liberta o Agente específico. A
instalação, manutenção e atualização dos agentes do Proxy requerem serviços especializados e podem ser bastante complexos e caros;
Os proxies introduzem perda de desempenho na rede, já que as mensagens devem ser processadas pelo agente do Proxy. Por exemplo, o serviço FTP manda um pedido ao agente do Proxy para FTP, que por sua vez interpreta a solicitação e fala com o servidor FTP externo para completar o pedido;
A tecnologia atual permite que o custo de implementação seja bastante reduzido ao utilizar CPUs de alto desempenho e baixo custo, bem como sistemas operacionais abertos (Linux), porém, exige-se manutenção específica para assegurar que seja mantido nível de segurança adequado (ex: aplicação de correções e configuração adequada dos servidores).
[editar] Firewall de Aplicação
Com a explosão do comércio eletrônico percebeu-se que mesmo a última tecnologia em filtragem de pacotes TCP/IP poderia não ser tão efetiva quanto se esperava. Com todos os investimentos dispendidos em tecnologia de stateful firewalls, os ataques continuavam a prosperar de forma avassaladora. Somente a filtragem dos pacotes de rede não era mais suficiente. Os ataques passaram a se concentrar nas características (e vulnerabilidades) específicas de cada aplicação. Percebeu-se que havia a necessidade de desenvolver um novo método que pudesse analisar as particularidades de cada protocolo e tomar decisões que pudessem evitar ataques maliciosos contra uma rede.
Apesar do projeto original do TIS Firewall concebido por Marcos Ranum já se orientar a verificação dos métodos de protocolos de comunicação, o conceito atual de Firewall de Aplicação nasceu principalmente pelo fato de exigir-se a concentração de esforços de análise em protocolos específicos, tais como servidores web e suas conexões HTTP. A primeira implementação comercial nasceu em 2000 com a empresa [israelense] Sanctum, porém, o conceito ainda não havia sido amplamente difundido para justificar uma adoção prática.
Se comparado com o modelo tradicional de Firewall -- orientado a redes de dados, o Firewall de aplicação é frequentemente instalado junto a plataforma da aplicação, atuando como uma espécie de procurador para o acesso o servidor (Proxy).
Alguns projetos de código-aberto, como por exemplo o ModSecurity[2] para servidores Apache, tem por objetivo facilitar a disseminação do conceito para as aplicações Web.
[editar] Vantagens
Pode suprir a deficiência dos modelos tradicionais e mapear todas as transações específicas que acontecem na camada da aplicação Web proprietária;
Por ser um terminador do tráfego SSL, pode avaliar transações criptografadas (HTTPS) que originalmente passariam desapercebidas ou não analisadas por firewalls tradicionais de rede;
[editar] Desvantagens
Pelo fato de embutir uma grande capacidade de avaliação técnica dos métodos disponibilizados por uma aplicação (Web), este tipo de firewall exige um grande poder computacional -- geralmente traduzido para um grande custo de investimento;
Ao interceptar aplicações Web e suas interações com o cliente (Browser), pode acabar por provocar alguma incompatibilidade no padrão de transações (fato que exigirá, sem sombra de dúvidas, um profundo trabalho de avaliação por parte dos implementadores);
Alguns especialistas ou engenheiros de tecnologia refutam a tecnologia baseando-se nas seguintes argumentações:
o A tecnologia introduz mais um ponto de falha sem adicionar significativos avanços na tecnologia de proteção;
o Firewall e IDS/IPS já seriam suficientes para cobrir grande parte dos riscos associados a aplicação Web;
o A tecnologia ainda precisa amadurecer o suficiente para ser considerada como um componente indispensável de uma arquitetura de segurança.
Certamente esses argumentos serão bastante discutidos ao longo dos próximos anos como um imperativo para determinar a existência da tecnologia no futuro.
Stateful Firewall (Firewall de Estado de Sessão)
Os firewalls de estado foram introduzidos originalmente em 1991 pela empresa DEC com o produto SEAL, porém, não foi até 1994, com os israelenses da Checkpoint, que a tecnologia ganharia maturidade suficiente. O produto Firewall-1 utilizava a tecnologia patenteada chamada de Stateful inspection, que tinha capacidade para identificar o protocolo dos pacotes transitados e "prever" as respostas legítimas. Na verdade, o firewall guardava o estado de todas as últimas transações efetuadas e inspecionava o tráfego para evitar pacotes ilegítimos.
Posteriormente surgiram vários aperfeiçoamentos, que introduziram o Deep Packet Inspection, também conhecido como tecnologia SMLI (Stateful Multi-Layer Inspection), ou seja Inspeção de Total de todas as Camadas do modelo ISO/OSI (7 camadas). Esta tecnologia permite que o firewall descodifique o pacote, interpretando o tráfego sob a perspectiva do cliente/servidor, ou seja, do protocolo propriamente dito e inclui técnicas específicas de identificação de ataques.
Com a tecnologia SMLI/Deep Packet Inspection o firewall utiliza mecanismos otimizados de verificação de tráfego para analisá-los sob a perspectiva da tabela de estado de conexões legítimas. Simultaneamente, os pacotes também vão sendo comparados a padrões legítimos de tráfego para identificar possíveis ataques ou anomalias. A combinação permite que novos padrões de tráfegos sejam entendidos como serviços e possam ser adicionados às regras válidas em poucos minutos.
Supostamente a manutenção e instalação são mais eficientes (em termos de custo e tempo de execução), pois a solução se concentra no modelo conceitual do TCP/IP. Porém, com o avançar da tecnologia e dos padrões de tráfego da Internet, projetos complexos de firewall para grandes redes de serviço podem ser tão custosos e demorados quanto uma implementação tradicional.
Leitura rápida
Os sistemas firewall nasceram no final dos anos 80, fruto da necessidade de criar restrição de acesso entre as redes existentes. Nesta época a expansão das redes acadêmicas e militares, que culminou com a formação da ARPANET e, posteriormente, a Internet e a popularização dos primeiros computadores tornou-se um prato cheio para a incipiente comunidade hacker. Casos de invasões de redes, acessos indevidos a sistemas fraudes em sistemas de telefonia começaram a surgir, e foram retratados no filme Jogos de Guerra ("War Games"), de 1983. Em 1988 administradores de rede identificaram o que se tornou a primeira grande infestação de vírus de computador e que ficou conhecido como Internet Worm. Em menos de 24 horas, o worm escrito por Robert T. Morris Jr disseminou-se por todos os sistemas da então existente Internet (formado exclusivamente por redes de ensino e governamentais), provocando um verdadeiro apagão na rede.
[editar] 1a.Geração (Filtros de Pacotes)
A tecnologia foi disseminada em 1988 através de pesquisa sustentadada pela DEC;
Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo para prova de conceito;
o O modelo tratava-se de um filtro de pacotes responsável pela avaliação de pacotes do conjunto de protocolos TCP/IP;
o Apesar do principal protocolo de transporte TCP orientar-se a um estado de conexões, o filtro de pacotes não tinha este objetivo inicialmente (possível vulnerabilidade);
Até hoje este tipo de tecnologia é adotada em equipamentos de rede para permitir configurações de acesso simples (as chamadas "listas de acesso" ou "access lists"). O ipchains é exemplo recente de um firewall que utiliza a tecnologia desta geração.
[editar] Regras Típicas na 1a.Geração
Restringir tráfego baseado no endereço IP de origem ou destino; Restringir tráfego através da porta (TCP ou UDP) do serviço.
[editar] 2a.Geração (Filtros de Estado de Sessão)
A tecnologia foi disseminada a partir de estudo desenvolvido no começo dos anos 90 pelo Bell Labs;
Pelo fato do principal protocolo de transporte TCP orientar-se por uma tabela de estado nas conexões, filtro de pacotes não eram suficientemente efetivos se não observassem estas características;
Foram chamados também de Firewall de circuito.
[editar] Regras Típicas na 2a.Geração
Todas as regras da 1a.Geração; Restringir o tráfego para início de conexões (NEW); Restringir o tráfego de pacotes que não tenham sido iniciados a partir da rede
protegida (ESTABLISHED); Restringir o tráfego de pacotes que não tenham número de sequência corretos.
FireWall StateFull:
Armazena o estado da conexões e filtra com base nesse estado. Três estados para uma conexão: - NEW: Novas Comnexões;- - ESTABLISHED: Conexões já estabelecidas; - RELATED: Conexões relacionadas a outras existentes.
[editar] 3a.Geração (Gateway de Aplicação - OSI)
Baseado nos trabalhos de Gene Spafford (co-autor do livro Practical Unix and Internet Security), Marcos Ranum (fundador da empresa TIS), e Bill Cheswick;
Também são conhecidos como "Firewall de Aplicação" ou "Firewall Proxy"; Foi nesta geração que se lançou o primeiro produto comercial em 13 de Junho de
1991 -- o SEAL da DEC; Diversos produtos comerciais surgiram e se popularizaram na década de 90,
como os firewalls Raptor, Gauntlet (que tinha sua versão gratuita batizada de TIS) e Sidewinder, entre outros;
Não confundir com o conceito atual de Firewall de Aplicação -- firewalls de camada de Aplicação eram conhecidos desta forma por implementarem o conceito de Proxy e de controle de acesso em um único dispositivo (o Proxy Firewall), ou seja, um sistema capaz de receber uma conexão, decodificar protocolos na camada de aplicação e interceptar a comunicação entre cliente/servidor para aplicar regras de acesso;
[editar] Regras Típicas na 3a.Geração
Todas as regras das gerações anteriores; Restringir acesso FTP a usuários anônimos; Restringir acesso HTTP para portais de entretenimento; Restringir acesso a protocolos desconhecidos na porta 443 (HTTP/S).
[editar] 4a.Geração e subsequentes
O Firewall consolida-se como uma solução comercial para redes de comunicação TCP/IP;
Diversas empresas como Checkpoint e Cisco desenvolvem soluções que ampliam características anteriores:
o Stateful Inspection para inspecionar pacotes e tráfego de dados baseado nas características de cada aplicação, nas informações associadas a todas as camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e no estado das conexões e sessões ativas;
o Prevenção de Intrusão para fins de identificar o abuso do protocolo TCP/IP mesmo em conexões aparentemente legítimas;
o Deep Packet Inspection associando as funcionalidades do Stateful Inspection com as técnicas dos dispositivos IPS;
A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para ser aplicada também em estações de trabalho e computadores domésticos (o chamado Firewall Pessoal"), além do surgimento de soluções de firewall dedicado a servidores e aplicações específicas (como servidores web e banco de dados).
