Segurança em Redes de computadores Firewall

Prévia do material em texto

SEGURANÇA DE REDES 
DE COMPUTADORES
Professor: Fábio Alberti.
fabiocax@gmail.com
(48) 99323648
Firewalls
INTRODUÇÃO
©Fabio Alberti
Firewalls
● O Firewall é um dos principais, mais conhecidos e antigos componentes 
de segurança.
● Contribui as vezes para uma falsa expectativa quanto a segurança da 
organização. 
©Fabio Alberti
Firewalls
● É um ponto entre duas ou mais redes, onde circula todo o tráfego, 
permitindo que o controle, a autenticação e os registros de todo o 
tráfego sejam realizados.
● É um componente ou um conjunto de componentes que restringe o 
acesso entre uma rede protegida e a Internet, ou entre um conjuntos de 
redes.
©Fabio Alberti
Firewalls
● Firewall é um sistema integrado, utilizado em redes de computadores para 
a sua proteção;
● Tal sistema é composto por filtros (pacotes, estados, conteúdo);
©Fabio Alberti
Firewalls
● Um Firewall também pode ser utilizado para separar as LANs dentro de 
uma mesma organização;
● Um Firewall é implementado com base na política de segurança;
©Fabio Alberti
Firewalls
● Até o presente momento os firewalls possuem quatro gerações e estas 
são agregadas, isso significa que cada nível contém todos os 
subsequentes, que são:
○ Primeira geração;
○ Segunda geração;
○ Terceira Geração;
○ Quarta Geração ou Next Generation;
©Fabio Alberti
Firewalls - Primeira Geração
● O firewall de primeira geração, ou filtro de pacotes é responsável por filtrar 
as camadas 3 e 4 do protocolo TCP/IP, ou seja, nos cabeçalhos do IP e 
dos protocolos da camada de transporte utilizados (TCP, UDP e outros). 
● Stateless (sem estado de conexão)
● Como qualquer informação que entra ou sai de uma rede TCP/IP, 
obviamente, estará dentro de um pacote IP, o filtro de pacotes poderá 
bloquear a entrada (ou saída) dessa informação. 
©Fabio Alberti
Firewalls - Primeira Geração
● Esta tecnologia é capaz de adotar uma das duas posturas padrão:
○ Postura padrão de negação : especificar apenas o que é permitido e 
proibir o resto. Considerada Prudente “tudo aquilo que não é 
expressamente permitido é proibido”;
○ Postura padrão de permissão: especificar somente o que é proibido 
e permitir o resto. Considerada Permissiva “tudo aquilo que não é 
expressamente proibido é permitido”;
©Fabio Alberti
Firewalls - Primeira Geração
● Suas regras básicas se definem como:
○ Restringir tráfego baseado no endereço IP de origem ou destino;
○ Restringir tráfego através da porta (TCP ou UDP) do serviço;
©Fabio Alberti
Firewalls - Primeira Geração
Exemplo: ipchains, iptables, ipfw
©Fabio Alberti
Firewalls - Segunda Geração
● Implementa o estado de conexão nas tabelas da pilha TCP/IP ao fato de 
que o principal protocolo de transporte TCP orientar-se por uma tabela de 
estado das conexões (Firewall Stateful), 
● Os filtros de pacotes não eram suficientemente efetivos se não 
observassem estas características. Armazena-se então o estado das 
conexões e filtra-se com base nesses três estados; 
○ novas conexões (NEW), 
○ conexões já estabelecidas (ESTABLISHED)
○ conexões relacionadas a outras existentes (RELATED). 
©Fabio Alberti
Firewalls - Segunda Geração
● Suas regras básicas se definem como:
○ Restringir o tráfego para início de conexões (NEW);
○ Restringir o tráfego de pacotes que tenham sido iniciados a partir 
da rede protegida (ESTABLISHED);
○ Restringir o tráfego de pacotes que tenham número de sequência 
corretos.
©Fabio Alberti
Firewalls - Segunda Geração
● Exemplo: iptables, ipfw 
©Fabio Alberti
Firewalls - Terceira Geração
● Também são conhecidos como Proxy (Gateway de Aplicação), ou firewall 
de aplicação são programas específicos que permitem a propagação de 
uma aplicação (Http, Ftp). 
● Como estes são programados para atuar em nível de aplicação podem, ao 
contrário dos outros tipos de firewalls, controlar o acesso e manter logs de 
uso das aplicações. Até mesmo podem usufruir de outros dispositivos 
informáticos como banco de dados, serviço de diretório (LDAP), email, 
antivírus, e outros. 
©Fabio Alberti
Firewalls - Terceira Geração
● Como são aplicações extremamente especializadas, os proxies possuem 
a desvantagem de necessitarem para cada serviço, uma aplicação, além 
disso, nem sempre são totalmente transparentes aos usuários que 
primeiro deve se conectar ao proxy para depois acessar o serviço 
requerido. 
©Fabio Alberti
Firewalls - Terceira Geração
● Exemplo: squid, dansguardian, apache, antivirus, antispam. 
©Fabio Alberti
Firewalls - Quarta Geração
● Firewalls de quarta geração, ou próxima geração, usam a inspeção 
profunda de pacotes (DPI) como tecnologia que o faz diferencia-se das 
outras gerações;
● Estes novos firewalls são capazes de olhar profundamente o conteúdo do 
pacote antes de tomar uma decisão de permitir ou negar o fluxo de 
tráfego.
● Eles realizam o papel principal de firewall das gerações anteriores que é 
"controlar o fluxo de dados" mas em um nível muito mais fino e mais 
granular do que era possível com os outros firewalls©Fabio Alberti
Firewalls - Quarta Geração
“No ritmo acelerado da Internet, a tecnologia baseadas em portas por trás de firewalls é 
medieval. Na verdade, a segurança da rede é muitas vezes comparada à das Idade Trevas - 
um perímetro de rede é semelhante à das paredes de um castelo, com um acesso - como 
uma ponte levadiça. E como uma ponte levadiça que se move para cima ou para baixo, um 
firewall limita-se apenas a duas opções para o controle de tráfego : permitir ou bloquear.” 
MILLER(2009) 
©Fabio Alberti
Firewalls - Quarta Geração
● Este tipo de firewall é composto por uma série de aplicações alocadas em 
um sistema operacional ou mesmo em um appliance (hardware), estes 
aplicativos são:
○ Detecção e Prevenção de Intrusão (IDS)
○ Anti-Malware;
○ Web Filtering;
○ Anti-Spam;
○ Traffic Shaping (QOS);
○ Rede Privada Virtual (VPN)
©Fabio Alberti
Firewalls - Quarta Geração
● Uma solução robusta de firewall de próxima geração deve proporcionar 
um controle granular para as políticas de controle do uso de aplicativos, 
como qualquer combinação de:
● Permitir ou negar;
● Permitir certas funções de aplicativos;
● Permitir mas auditar;
● Descriptografar e inspecionar;
● Permitir para determinados usuários ou grupos;
©Fabio Alberti
Firewalls
Firewall e a organização
©Fabio Alberti
Firewalls
Quando se está construindo um firewall, a primeira coisa com que se 
preocupar é com o que proteger.
● Dados 
○ Confidencialidade;
○ Integridade; 
○ Disponibilidade.
● Recursos 
○ Evitar danos lógicos aos equipamentos;
○ Evitar a utilização dos recursos da empresa;
● A reputação da empresa - é fundamental para o negócio da empresa. 
©Fabio Alberti
Firewalls
Gerenciar eficientemente as atividades na rede – um bom local para a coleta 
de informação sobre o sistema e sobre o uso da rede; 
Limita a exposição da rede – pode ser utilizado para manter uma seção da 
rede separada de outra seção. 
©Fabio Alberti
Firewalls
● Age como um gateway entre duas redes;
● Pode trabalhar na camada de aplicação, recebendo de clientes as 
requisições de serviços Internet (HTTP, FTP, etc), analisando-as e 
redirecionando estas requisições;
● Substitui as conexões diretas entre clientes e servidores (mascaramento 
do cliente e de sua rede). 
©Fabio Alberti
Firewalls
● Arquitetura de Firewall
Existem algumas arquiteturas de firewalls com que devemos estar 
familiarizados, ou seja, aonde colocaremos e de que forma trabalhará.
©Fabio Alberti
Firewalls
Dual Homed Host
● Uma arquiteturadete tipo é montada sobre um computador com duas 
interfaces físicas de rede;
● Age como um roteador porém não faz roteamento;
● Utiliza técnicas de NAT para fazer o roteamento entre as redes;
● O sistema dentro do firewall se comunica com a internet, porém, o inverso 
não é possível.
©Fabio Alberti
Firewalls
Dual Homed Host
● Ideal para pequenos tráfegos;
● Custo menor;
©Fabio Alberti
Firewalls
Dual Homed Host
©Fabio Alberti
Firewalls
Dual Homed Host
● Ideal para pequenos tráfegos;
● Custo menor;
©Fabio Alberti
Firewalls
Screened Host
● Combinação com um Bastion Host e um roteador com packet filter;
● Aceita conexões provindas somente do Bastion Host;
● O Bastion Host fica situado na rede interna, é o único com acesso a 
internet;
©Fabio Alberti
Firewalls
Screened Host
©Fabio Alberti
Firewalls
Screened Host
● Em termos de segurança ele é bem razoável, com duas camadas;
● Uma na camada de rede com o Screened Host outra na camada de 
aplicação com o Bastion Host;
O que acontece se o Bastion Host for atacado??
©Fabio Alberti
Firewalls
Screened Subnet Firewall
● Conhecida com DMZ( DeMilitarized Zone) provê mais camadas de 
segurança;
● Área de perímetro entre a rede iterna e externa para proteger a rede 
interna e nela teremos dois firewall do tipo Screened;
● Para se chegar na rede interna deve-se passar por dois firewalls;
©Fabio Alberti
Firewalls
Screened Subnet
 Firewall
©Fabio Alberti
Firewalls
Screened Subnet Firewall
● Arquitetura mais complexa;
● É necessário mantar três equipamentos distintos;
©Fabio Alberti
Firewalls
Dual Homed Host
● Uma arquitetura dete tipo é montada sobre um computador com duas 
interfaces físicas de rede;
● Age como um roteador porém não faz roteamento;
● Utiliza técnicas de NAT para fazer o roteamento entre as redes;
©Fabio Alberti
Firewalls
Dual Homed Host
● Uma arquitetura dete tipo é montada sobre um computador com duas 
interfaces físicas de rede;
● Age como um roteador;
©Fabio Alberti
Firewalls - Iptables
Firewall em ambiente Linux (iptables)
©Fabio Alberti
Firewalls - Iptables
NetFilter – módulo do kernel do Linux, isto é, um framework do Linux que dá 
suporte ao Iptables.
Iptables – é uma ferramenta que possibilita manipular as tabelas do netfilter.
©Fabio Alberti
Firewalls - Iptables
O FILTRO DE PACOTES do Linux funciona mediante regras estabelecidas. Todos os 
pacotes entram no kernel para serem analisados. As CHAINS (correntes) são as 
situações possíveis dentro do kernel. Quando um pacote entra no kernel, este verifica 
o destino do pacote e decide qual chain irá tratar do pacote. Isso se chama 
roteamento interno. 
©Fabio Alberti
Firewalls - Iptables
Existem 3 tabelas possíveis:
● filter: é a tabela default. Quando não especificarmos a tabela, a filter será 
utilizada. Refere-se às atividades normais de tráfego de dados, sem a 
ocorrência de NAT. Admite as chains INPUT, OUTPUT e FORWARD.
● nat: utilizada quando há NAT. Exemplo: passagem de dados de uma rede 
privada para a Internet. Admite as chains PREROUTING, OUTPUT e 
POSTROUTING.
● mangle: basicamente, trabalha com marcação de pacotes e QoS. 
©Fabio Alberti
Firewalls - Iptables
Existem 3 tabelas possíveis:
● filter: é a tabela default. Quando não especificarmos a tabela, a filter será 
utilizada. Refere-se às atividades normais de tráfego de dados, sem a 
ocorrência de NAT. Admite as chains INPUT, OUTPUT e FORWARD.
● nat: utilizada quando há NAT. Exemplo: passagem de dados de uma rede 
privada para a Internet. Admite as chains PREROUTING, OUTPUT e 
POSTROUTING.
● mangle: basicamente, trabalha com marcação de pacotes e QoS. 
©Fabio Alberti
Firewalls - Iptables
Tabela Filter
©Fabio Alberti
Firewalls - Iptables
©Fabio Alberti
Firewalls - Iptables
As regras (rules) de fitragem, geralmente, são compostas assim:
#iptables [-t tabela] [opção] [chain] [dados] -j [ação]
©Fabio Alberti
Firewalls - Iptables
● Execute o comando para listar as regras:
#iptables -t filter -L
©Fabio Alberti
Firewalls - Iptables
-P Policy (política). Altera a política da chain. A política inicial de cada chain é 
ACCEPT. Isso faz com que o filtro, inicialmente, aceite qualquer INPUT, 
OUTPUT ou FORWARD. A política pode ser alterada para DROP, que irá 
negar o serviço da chain, até que uma opção -A entre em vigor. O -P não 
aceita REJECT ou LOG. 
Geralmente iniciamos com a criação de uma política-padrão de acesso:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
©Fabio Alberti
Firewalls - Iptables
-A --> Append (anexar). Acresce uma nova regra à chain. Tem prioridade 
sobre o -P. Geralmente, como buscamos segurança máxima, colocamos todas 
as chains em política DROP, com o -P e, depois, abrimos o que é necessário 
com o -A. 
Exemplos:
#iptables -A OUTPUT -d 172.20.5.10 -j ACCEPT
#iptables -A FORWARD -s 10.0.0.1 -j DROP
#iptables -A FORWARD -d www.chat.com.br -j DROP
©Fabio Alberti
Firewalls - Iptables
-D --> Delete (apagar). Apaga uma regra. A regra deve ser escrita novamente, 
trocando-se a opção para -D. Exemplos:
Para apagar as regras anteriores, usa-se:
#iptables -D OUTPUT -d 172.20.5.10 -j ACCEPT
#iptables -D FORWARD -s 10.0.0.1 -j DROP
#iptables -D FORWARD -d www.chat.com.br -j DROP
Também é possível apagar a regra pelo seu número de ordem:
#iptables -D FORWARD 4
©Fabio Alberti
Firewalls - Iptables
-F --> Flush (esvaziar). Remove todas as regras existentes. No entanto, não 
altera a política (-P). Exemplos:
#iptables -F
#iptables -F FORWARD
©Fabio Alberti
Firewalls - Iptables
As chains (fluxo dos dados) já são conhecidas:
INPUT --> Refere-se a todos os pacotes destinados à máquina filtro.
OUTPUT --> Refere-se a todos os pacotes gerados na máquina filtro.
FORWARD --> Refere-se a todos os pacotes oriundos de uma máquina e 
destinados a outra. São pacotes que atravessam a máquina filtro, mas não são 
destinados a ela.
©Fabio Alberti
Firewalls - Iptables
Os elementos mais comuns para se gerar dados são os seguintes:
 
-s --> Source (origem). Estabelece a origem do pacote. Geralmente é uma 
combinação do endereço IP com a máscara de sub-rede, separados por uma 
barra. Exemplo: 
-s 172.20.0.0/255.255.0.0
Para especificar qualquer origem, utilize a rota default, ou seja, 0.0.0.0/0.0.0.0, 
também admitindo 0/0.
 
-d --> Destination (destino). Estabelece o destino do pacote. Funciona 
exatamente como o -s, incluindo a sintaxe.
©Fabio Alberti
Firewalls - Iptables
-p --> Protocol (protocolo). Especifica o protocolo a ser filtrado. O protocolo IP 
pode ser especificado pelo seu número (vide /etc/protocols) ou pelo nome. Os 
protocolos mais utilizados são udp, tcp e icmp. Exemplo:
-p icmp
-o --> Out-Interface (interface de saída). Especifica a interface de saída. 
Similar a -i, inclusive nas flexibilidades. O -o não pode ser utilizado com a chain 
INPUT.
 
! --> Exclusão. Utilizado com -s, -d, -p, -i, -o e outros, para excluir o argumento. 
Exemplo:
-s ! 10.0.0.1
Isso refere-se a qualquer endereço de entrada, exceto o 10.0.0.1. 
©Fabio Alberti
Firewalls - Iptables
As principais ações são:
ACCEPT --> Aceitar. Permite a passagem do pacote.
DROP --> Abandonar. Não permite a passagem do pacote, descartando-o. 
Não avisa a origem sobre o ocorrido.
REJECT --> Igual ao DROP, mas avisa a origem sobre o ocorrido (envia 
pacote icmp unreachable).
LOG --> Cria um log referente à regra, em /var/log/messages. Usar antes de 
outras ações.
©Fabio Alberti
Firewalls - Iptables
Parametros TCP/UDP:
Para utiliza-los é necessárioutilizar os parâmetros -p (tcp,udp)
Especificação das portas:
--sport, --source-port: determinam a porta de origem.
iptables -A INPUT -p tcp --sport ! 1024:65535 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j REJECT 
©Fabio Alberti
Firewalls - Iptables
--dport, --destiantion-port: determinam a porta de destino.
iptables -A INPUT ! -s 192.168.0.1/24 -p tcp --dport 22 -j REJECT
Neste exemplo todo o tráfego que não estiver vindo da rede interna com 
destino ao processo local na porta 22 será rejeitado.
©Fabio Alberti
Firewalls - Iptables
Liberar DNS
Vamos supor que nossa interface de rede para internet seja a eth0, e que 
nosso firewall poderá fazer requisições para um DNS qualquer. Note que 
poderiamos ser mais específicos e detalhar qual DNS permetido. 
Outro item importante é pensarmos que quando fazemos uma conexão 
temos ida e a volta, então devemos liberar o INPUT e o OUTPUT.
#iptables -A INPUT -i eth0 -p udp --sport 53 --dport 1024:65535 -j ACCEPT
#iptables -A OUTPUT -o eth0 -p udp --dport 53 --sport 1024:65535©Fabio Alberti
Firewalls - Iptables
Permitindo http,https e SSH no Firewall usando estado de pacotes:
#iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 22 --sport 1024:65535 -m state --state NEW -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 80,443 --sport 1024:65535 -m state --state NEW -j ACCEPT
©Fabio Alberti
Firewalls - Iptables
Bloqueando o Ping:
iptables -A FORWARD -p icmp --icmp-type echo request -j DROP
iptables -A INPUT -p icmp --icmp-type echo request -j DROP
©Fabio Alberti
Firewalls - Iptables
NAT (Network Address Translation)
©Fabio Alberti
Firewalls - NAT
● É responsável por traduzir endereços para que as redes distintas 
consigam se comunicar;
● É grande responsável para sobrevivencia da IPv4 nos últimos anos;
● Na prática usamos o NAT para mascarar conexões, proxies transparentes, 
fazer SNAT e DNAT;
● Redes privadas (10.0.0.0/8, 172.16.0.0/16,192.168.0.0/24);
©Fabio Alberti
Firewalls - NAT
Como funciona:
● O roteador precisa saber quais pacotes são locais e quais pacotes são 
para rede privada;
● O Linux mantém essas informações marcando em local apropriado (track) 
todas as conexões TCP/IP que atravessam o kernel, (conection track);
● É armazenado em /proc/net/ip_conntrack (monitore).
● Neste arquivo são amarzenadas informações sobre ip de origem, ip de 
destino, portas, protocolos e o estado;
©Fabio Alberti
Firewalls - NAT
Como funciona:
● O roteador precisa saber quais pacotes são locais e quais pacotes são 
para rede privada;
● O Linux mantém essas informações marcando em local apropriado (track) 
todas as conexões TCP/IP que atravessam o kernel, (conection track);
● É armazenado em /proc/net/ip_conntrack.
● Neste arquivo são amarzenadas informações sobre ip de origem, ip de 
destino, portas, protocolos e o estado;
©Fabio Alberti
Firewalls - NAT
● Habilitando Forwarding no Kernel Linux;
#echo 1> /proc/sys/net/ipv4/ip_forward
#sysctl -w net.ipv4.ip_forward=1
©Fabio Alberti
Firewalls - NAT
Como funciona:
TCP 6 234567 ESTABLISHED src=192.168.0.1 dst=200.201.27.19 sport=3409 
dport=80 src=200.201.27.19 dst=192.168.10.2 sport=80 dport=3409 
[ASSURED] use=1
● O router ficará em alerta quando um pacote chegar para nossa rede 
privada,192.168.10.2, vindo do servidor web 200.201.27.19.
● Trabalha sobre ip de origem e destino;
©Fabio Alberti
Firewalls - NAT
Cenários de tradução:
1:1 = quando traduzimos um ip privado para um publico;
1:N = quando traduzimos um ip privado por vários ips públicos;
N:1 = esse é o mais comum, pois temos uma rede privada para um ip público;
N:N= neste caso, temos muitos ips privados ou uma rede, onde será traduzido 
para vários ips públicos;
©Fabio Alberti
Firewalls - NAT
©Fabio Alberti
Firewalls - NAT
SNAT:
● É responsável por alterar os endereços de rede e enviar para outra rede. 
(1:1, 1:N)
● Rede privada para um ip público, dando acesso à internet;
● Devemos utiliza-la com a chain POSTROUTING. 
©Fabio Alberti
Firewalls - NAT
SNAT:
#iptables -t nat -A POSTROUNTING -s 192.168.0.4 -d 0/0 -j SNAT --to 
200.192.14.5
#iptables -t nat -A POSTROUNTING -s 192.168.0.0/24 -o eth0 -j SNAT --to 
200.192.14.5
©Fabio Alberti
Firewalls - NAT
MASQUERADING:
● Resolve problemas de IP dinâmicos;
● É como SNAT;
#iptables -t nat -A POSTROUNTING -s 192.168.0.0/24 -o ppp0 -j 
MASQUERADE
#iptables -t nat -A POSTROUNTING -s 192.168.0.1 -p udp --dport 53 -j 
MASQUERADE
©Fabio Alberti
Firewalls - NAT
DNAT:
● Troca endereços de destino;
● Usado apra acesso à aplicações internas;
● Balanceamento de carga de servidores.
©Fabio Alberti
Firewalls - NAT
DNAT:
● As solicitações vêm do meio externo para o firewall;
● Utiliza-se a PREROUTING; 
● Vale lembrar que o roteamento ocorre em dois momentos distintos, 
quando os pacotes estão entrando no kernel e quando estão saíndo.
©Fabio Alberti
Firewalls - NAT
DNAT:
#iptables -t nat -A PREROUNTING -s 200.191.20.12 -i eth1 -j DNAT --to 
192.168.10.1
Quando chegarem de 200.191.20.12 pela interface de entrada eth1, serão 
enviados para 192.168.10.1 
©Fabio Alberti
Firewalls - NAT
DNAT:
#iptables -t nat -A PREROUNTING -s 200.191.20.12 -p tcp --dport 80 -i eth1 -j 
DNAT --to 192.168.10.1
Quando chegarem de 200.191.20.12 pela interface de entrada eth1, porta 80, 
serão enviados para 192.168.10.1 porta 80.
#iptables -t nat -A PREROUNTING -s 200.191.20.12 -p tcp --dport 80 -i eth1 -j 
DNAT --to 192.168.10.1:8080
©Fabio Alberti
Firewalls - NAT
DNAT:
Outros exemplos:
#iptables -t nat -A PREROUTING -s 10.15.84.13/255.255.255.0 -p tcp --dport 
80 -j REDIRECT --to-port 3128
©Fabio Alberti