Baixe o app para aproveitar ainda mais
Prévia do material em texto
Principais características e funcionalidades dos firewalls Open Sources IPFW e PF. Ricardo de Oliveira Cardoso Jhonatan M. de Souza Introdução 2 • Um dos recursos mais utilizados pelas empresas para prover segurança aos seus dados é o firewall. Segundo Moraes (2011) firewall pode ser definido como um sistema que atua como ponto único de defesa entre a rede privada e a rede publica. • Ele pode ser implementado por um simples roteador que aplica um filtro de pacotes, ou até mesmo soluções bem mais complexas, que geralmente são um conjunto de recursos de hardware e software destinados a garantir a segurança das informações na rede. Introdução 3 Uma pesquisa realizada pela Dell SonicWALL, empresa que atua no mercado de firewalls, realizou um levantamento com 827 empresas de até 300 funcionários no Brasil, identificou que 87% destas empresas utilizam um firewall e 34% destas utilizam ferramentas baseadas em open source. Os firewalls open sources, tem ganhado um espaço significativo no mercado, existem hoje uma gama de opções de firewalls disponíveis entre estes estão os firewalls nativos dos sistemas operacionais FreeBSD e OpenBSD, são estes uma grande plataforma de firewalls, entre eles estão o IPFW e o PF, que serão abordados neste artigo. Introdução 4 Este artigo objetiva explanar de forma breve o conceito de firewall através de bibliografias sobre o assunto e apresentar as ferramentas IPFW e PF, mostrando algumas de suas funcionalidades e aplicabilidade. FreeBSD 5 O FreeBSD é conhecido como um dos mais robustos e seguros sistemas operacionais (SOs) da computação moderna. Ele usado no coração da Internet, toda a infra-estrutura DNS F-ROOT, na raiz do sistema de resolução de nomes é sustentada por FreeBSD. Ele conta hoje com todos os desenvolvedores BSD originais ativos e é o sistema Open Source mais organizado do mundo. Firewall IPFW 6 Um firewall nativo do sistema operacional FreeBSD, ele centra-se na estabilidade e desempenho. Este é um firewall por filtragem de pacotes, o que significa que ele atua monitorando pacote-a-pacote todas as conexões, e a partir da série 4.0 do FreeBSD o IPFW também pode gerenciar uma filtragem por estado (stateful) de conexões. O IPFW suporta tanto o IP versão quatro quanto a versão seis. Ele fornece um conjunto de regras de amostra em /etc/rc.firewall que define vários tipos de firewalls, configurados para cenários comuns a fim de ajudar usuários que estejam iniciando no IPFW, gerando para eles de um conjunto de regras adequadas para diversas situações. Firewall IPFW 7 Para ativar o IPFW no sistema, é necessário adicionar a seguinte entrada no arquivo rc.conf que encontra se em /etc/rc.conf: firewall_enable = "YES" Firewall IPFW 8 Quadro 1: Tipos de firewall padrão do IPFW Open Passa todo o tráfego. Cliente Protege somente esta máquina. Simple Protege toda a rede. Closed Totalmente desativa o tráfego IP, exceto para a interface loopback. Wokstation Protege somente esta máquina usando as regras de stateful. Unknown Desativa o carregamento de regras do firewall. Filename Caminho completo do arquivo que contém o conjunto de regras do firewall. Fonte: Adaptado de FreeBSD.org(2014) Firewall IPFW Para utilizar um destes tipos adiciona-se ao final do arquivo rc.conf a seguinte linha que especifica a escolha: firewall_type = "open" sintaxe para criação das regras <comando> [<número da regra>] <ação> <protocolo> from <origem> to <destino> Firewall IPFW • Com base nesta sintaxe podemos criar as mais diversas regras, a fim de garantir a segurança da rede, a seguir podem ser vistos alguns exemplos, eles estão organizados da seguinte maneira, a descrição e abaixo o comando: ### Liberar udp da rede 192.168.0.0/24 para a rede 192.168.1.0/24 add 00100 allow udp from 192.168.0.0/24 to 192.168.1.0/24 in ### Regra para o INPUT do trafego SSH add 00200 allow tcp from any to 192.168.1.1/32 22 in ### Bloquear todos os pacotes vindo de qualquer lugar para qualquer lugar e logar os mesmo add 64534 deny log all from any to any Firewall IPFW • Comandos para gerência # ipfw list • Com este comando serão listadas todas as regras ativas, seguindo a ordem dos números, como pode ser visto na figura. Firewall IPFW • É possível ainda listar a data e a hora da ultima vez que um pacote correspondeu a uma regra, basta utilizar o comando: # ipfw -t list • O resultado deste comando pode ser visto na figura. Firewall IPFW • Por fim, podemos listar o número de vezes que um pacote passou (ou foi bloqueado) por uma regra, e o número de bytes que esse tráfego gerou, utiliza-se o seguinte comando: # ipfw -a list ou # ipfw show • Com estes comandos já é possível ter algum controle sobre o trafego na rede. 14 OpenBSD Sistema Operacional – multiplataforma, multiusuário, basedado no UNIX; Pontos fortes: Segurança, padronização e portabilidade; Criptografia implementada no próprio sistema operacional; Conceito: Segurança não é um produto, mas sim um processo. 15 Firewall PF (packet filter) Responsável pela filtragem de pacotes; Bloqueio ou liberação; Critérios: Camada 3 (IPV4 e IPV6) e camada 4 (TCP, UDP, ICMP e ICMPV6); Ativação e desativação ( /etc/rc.conf), linhas: “pf=no” para “pf=yes”. PF lê suas configurações no arquivo (/etc/pf.conf). É interpretado pelo “PFCTL” e inserido no PF. 16 Firewall PF (packet filter) 17 Firewall PF (packet filter) 18 Funcionamento 19 Funcionamento 20 Funcionamento 21 Considerações Finais • Conclui-se através deste artigo que o uso de firewalls é uma parte importante e fundamental ao se pensar em uma solução de segurança para as informações. Sendo que o firewall atua como um ponto único defesa entre a rede privada e a rede publica, sabe-se que muitas ameaças podem ser evitadas ao se adotar soluções de firewall fazendo assim uma filtragem de pacotes na entrada da rede. 22 Considerações Finais • Existem entre eles algumas diferenças que merecem ser destacadas. O IPFW possui uma característica que deve ser levado muito em conta, a necessidade de menos recurso de hardware. • A configuração PF é dividida em várias partes, tendo os macros como um grande destaque, eles são úteis porque são uma alternativa para se referenciar endereços, números de portas, nomes de interfaces entre outros, em um conjunto de regras. Desta forma se um endereço IP de um servidor mudou, será preciso apenas atualizar a macro. 23 Considerações Finais • Em contrapartida o IPFW geralmente possui um shell scripts com regras processados em ordem. • Em IPFW, a primeira regra em um conjunto de regras que corresponde a um pacote ganha. No PF, as regras são analisadas em sequência da primeira até a última, porém o pacote vai ser analisado por cada regra do arquivo de configuração, e vai ser casado com a última regra aonde ele se enquadre. 24 Referências DELL. Comunicados a imprensa: Mais de 30% das pequenas e médias empresas brasileiras ainda utilizam firewall open source. Disponível em: < http://www.dell.com/learn/br/pt/brcorp1/press-releases/2014-04-02--sonicwall- firewall-survey >. Acesso em: 20 nov. 2014. FREEBSD. FIREWALLS-IPFW. Disponível em: < http://www.free.bsd.com.br/~eksffa/freebsd/ipfw.txt Free BSD.org>. Acesso em: 21 nov. 2014. GIL, A. C. Como Elaborar projetos de Pesquisas. 5. ed. São Paulo: Atlas, 2010. KUROSE, James F. Redes de Computadores e a internet: uma aboradagem top- down. 5ªed. São Paulo: Pearson, 2010. MORAES, Alexandre Fernandes de. Redes de Computadores: Fundamentos. 7ª. ed. São Paulo: Érica, 2011. NASCIMENTO, Marcelo Brenzink do; TAVARES,Alexei Correa. Roteadores e Switches: Guia para Certificação CCNA e CCENT Exames 640-802 CCNA / 640- 822 ICND1 / 640-816 ICND2. 2ª. ed. Rio de Janeiro: Ciência Moderna, 2012. 25 OPENBSD. PF: Filtragem de Pacotes. Disponível em: <http://www.tw.openbsd.org/faq/pf/pt/filter.html#intro>. Acesso em: 21 nov. 2014. POTTER, Bruce. NETWORK SECURITY. Open source firewall alternatives. Elsevier, 2006. SCHÜRMANN, Tim. Mil e uma utilidades. 2012. Disponível em: <http://www.linuxnewmedia.com.br/images/uploads/pdf_aberto/ADM_05_48_54_0 7_seg-pfsense.pdf>. Acesso em: 21 nov. 2014. SPOHN, Marco Aurelio. Desenvolvimento e análise de desempenho de um packet/session filter. 1997. 68 f. TCC (Graduação) - Curso de Ciências da Computação, Universidade Federal do Rio Grande do Sul, Porto Alegre, 1997. Referências OBRIGADO! Ricardo de Oliveira Cardoso Jhonatan M. de Souza Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17 Slide 18 Slide 19 Slide 20 Slide 21 Slide 22 Slide 23 Slide 24 Slide 25 Slide 26
Compartilhar