AULA 02 SDR

Prévia do material em texto

Segurança de Redes I
Aula 3: Segurança com roteadores
Apresentação
Vamos conhecer um pouco mais sobre os roteadores e como nos podem ser úteis nas estratégias de segurança de redes.
Veremos que os roteadores, muito embora estejam projetados para rotear tráfego entre segmentos diferentes (domínios de broadcast distintos), podem ser configurados a nível dos seus scripts, ou seja, com restrições. Entenderemos como são implementadas tais restrições.
Verificaremos que os módulos de hardwares e/ou software podem ser utilizados para criar camadas de firewall implementadas sobre arquiteturas de roteadores. Em resumo, veremos que é possível adicionar mais funções do que aquelas que esperamos existir em um roteador, genericamente falando.
Objetivos
Definir o conceito de roteador;
Explicar as noções de roteador com Access List, lista de Acesso (Access List: ACL) e controle do tráfego com ACL;
Analisar o software e o hardware de firewall adicionados à plataforma roteador, bem como o firewall em roteador Wi-Fi.
O que é um roteador?
Um roteador é um dispositivo destinado à prática de encaminhamento de pacotes de dados entre segmentos de rede distintos ou o que chamamos de “domínios de broadcast diferentes”.
Na prática, um roteador examinará cada pacote de dados que chega oriundo de um segmento de rede e que precisa ser encaminhado para outro segmento, observando o campo de endereço de destino e avaliando o seu conhecimento sobre este destino.
Cada pacote traz na sua construção aquilo que chamamos de cabeçalho e nele está contida uma série de informações importantes que ajudam no tratamento e no encaminhamento destes pacotes. Aqui, farei uma análise mais direcionada ao mundo IP, utilizando como exemplo o protocolo IPv4.
 Destaques sobre os campos do cabeçalho da camada de rede
 Clique no botão acima.
Todo o funcionamento de um roteador está baseado nas tabelas de roteamento, pois, ao receber um dado pacote por uma de suas interfaces, o roteador irá “ler” ou “analisar” a sua tabela de roteamento, e verificar se possui uma ou mais rotas para alcançar o destino pretendido e por quais interfaces ele irá fazê-lo.
Uma vez de posse da informação sobre qual o caminho seguir para alcançar o destino, o roteador executa o encaminhamento do pacote: Ele realiza o roteamento.

(Fonte: FREEPIK2 / Shutterstock).
Um roteador é responsável pelo tráfego que ocorre dentro do chamado “domínio de roteamento” (na Intranet ou na Internet), tratando da mecânica desse roteamento.
Os roteadores, automaticamente:
1
Preenchem e mantêm as tabelas de roteamento.
2
Executam processos e protocolos de roteamento dinâmico para atualização de rotas.
3
Associam os endereços de prefixos de domínios de roteamento às interfaces.
4
Atribuem e controlam métricas de roteamento.
5
Aceitam configurações estáticas das rotas para a propagação dos pacotes.
Roteador com ACL (Acssess List)
Muitas vezes não temos à mão um elemento próprio para que se possa implementar uma solução clássica de segurança, ou seja, uma plataforma de firewall, como a figura clássica de um dispositivo destinado a esta função específica.
O roteador, como foi visto acima, é um equipamento específico cuja função é conectar diferentes segmentos de redes mediante uma consulta à sua tabela de roteamento, cuja formação pode ser feita por aprendizado dinâmico ou ter informações escritas estaticamente.
Um roteador, porém, pode ser configurado para assumir outro papel: O de um elemento de segurança, realizando críticas sobre os pacotes que serão analisados por ele, observando campos na estrutura de seus cabeçalhos, de acordo com o que foi visto anteriormente.
Dentre esses campos, alguns principais:
1
Tipo de serviço
2
Protocolo
3
Endereço IP de origem
4
Endereço IP de destino
Cada pacote que passa pelos roteadores traz informações que serão usadas como argumentos de crítica para que se possam aplicar políticas de cerceamento, e com elas, criar níveis de segurança similares ao que se consegue com alguns tipos de firewalls.
Vamos entender melhor como isso funciona?
Exemplo
Um dado roteador ao receber um pacote poderá realizar uma crítica analisando:
O endereço IP de origem.
O endereço IP de destino.
O tipo de protocolo de transporte (TCP ou UDP).
A porta de serviço (soket).
A crítica a ser realizada pelo roteador será feita mediante a comparação dos argumentos contidos no cabeçalho dos pacotes com aqueles argumentos que estão definidos em uma lista prévia que faz crítica para liberar o acesso ou negar o acesso. A esta lista damos o nome de “lista de acesso”.

(Fonte: Anucha Cheechang / Shutterstock).
O que é uma lista de acesso (ACL)?
É um dos recursos que podem ser utilizados em diversas funcionalidades dentro dos equipamentos, por exemplo, Cisco: roteadores e switches.
Trata-se de uma lista sequencial de instruções de permissão ou negação na qual se faz críticas sobre endereços, protocolos e portas de serviço (soket).
Essa lista fornece uma forma adequada e, por que não, eficiente, para realizarmos o controle de tráfego de dentro para fora e vice-versa, entre segmentos de rede, podendo ser nas ACL's, declarados todos os protocolos de rede roteados.
 (Fonte: Omelchenko / Shutterstock).
Um dos grandes pontos, e de extrema importância, na segurança de uma rede é a capacidade de manter o controle do fluxo de pacotes em um dado segmento, objetivando protegê-lo de falhas, de degradação dos serviços, de sinistros que lesam a integridade e proteger o valor dos dados. Todas estas ações ou são frutos de natureza intencional ou são relativas a falhas de procedimentos de usuários.
Uma boa solução, coberta de efetividade, no quesito de segurança, não deve estar calçada apenas em recursos técnicos. A elaboração de uma boa política de segurança também traz efetividade e eficácia. A definição das diretrizes de segurança é muito importante, colaborando com a elaboração do processo de políticas.
Agora que já sabemos o que é uma ACL, vamos aprofundar nosso conhecimento sobre o tema.
Controle do tráfego com ACL
"Uma lista de controle de acesso (ACL) é uma lista de regras ordenadas que permitem ou bloqueiam o tráfego de pacotes baseado em certas informações presentes 'nos pacotes'. Uma ACL permite ou bloqueia o tráfego de pacotes – um pacote que não é explicitamente permitido será bloqueado pela regra que bloqueia tudo. Outro erro comum durante a criação de uma lista de controle de acesso é o esquecimento deste fato."
(REDE NACIONAL DE ENSINO E PESQUISA, 2001)
Em uma ACL, estão presentes características que constam nos cabeçalhos dos pacotes a serem inspecionados. Sobre estas informações de cabeçalho, tanto nos de camada 3 como nos de camada 4, se farão as críticas. Por exemplo, em uma dada ACL podemos barrar a aplicação FTP, criticando a sua porta que consta no cabeçalho de camada 4. É importante dizer que, uma ACL não irá filtrar ou considerar nenhum tipo de comando de aplicação, no caso do exemplo, comandos de FTP.
Uma vez que o roteador realiza, na prática, um exame de cada pacote de dados que chega às suas interfaces, não é de se estranhar que a usabilidade de ACLs aplicadas às suas interfaces é uma prática plausível, pois se aproveita o momento da inspeção do pacote e se realiza o ato do controle de acesso baseado no uso de uma lista de permissão ou negação.

(Fonte: Andrea Danti / shutterstock).
O fluxo do uso de uma ACL se dá da seguinte forma:
Uma interface recebe um pacote.
Roteador verifica tabela de rota:
Sem a existência de rota, o pacote é descartado e uma mensagem de ICMP (unreachable destination) é enviada à origem.
Confirma a existência de rota, agora busca a existência de uma ACL aplicada à interface por onde o pacote entrou.
Roteador verifica se há ACL aplicada à interface:
Sem ACL, o pacote segue normalmente para o buffer ad porta de saída.
Com ACL, o roteador executa a leitura das regras contidas e pratica a mesma conforme as diretrizes contidas nela, analisando o pacote.
O processo de escoamento de um fluxo de dados que cursa por uma interface de comunicaçãopode, por natureza de sua dinâmica, ser bidirecional, o que nos permite aplicar uma ACL em uma dada direção em função da dinâmica deste fluxo que cursa pela interface.
Vejamos as formas de aplicação das ACLs:
ACL aplicada à entrada de uma dada interface, denominada inbound: Quando os pacotes são checados e considerados se devem ou não continuar seu fluxo.
 
ACL aplicada à saída de uma dada interface, denominada outbound: Quando os pacotes são checados e considerados se devem ou não continuar seu fluxo.
Atenção
Todos os pacotes que são gerados pelo plano de controle de um roteador para a efetiva troca de tabelas de roteamento não serão afetados por ACL do tipo outbound, pois serão gerados pelo próprio sistema, o que leva a uma incoerência para ele. Só serão considerados para bloqueio, aqueles pacotes fruto de troca de tabelas de roteamento de outros sistemas (roteadores) através de ACL do tipo inbound, pois estas, por serem externas, podem estar contaminadas.
As ACLs podem ser de dois tipos, a saber:
Clique nos botões para ver as informações.
ACL Padrão (standard)
ACL Estendida (extended)
Nas listas do tipo ACL, são verificados os seguintes parâmetros de contexto de cabeçalho:
Endereços IP de origem e de destino.
Sokets de origem e de destino.
“Protocolos e alguns outros parâmetros, de forma a permitir ao administrador de segurança uma maior flexibilidade na elaboração das regras” (REDE NACIONAL DE ENSINO E PESQUISA, 2001).
Sobre o aspecto da representatividade dos protocolos [alguns deles]...
"Nas listas de acesso, devem ser identificadas por nome; já em outros, devem ser identificadas por número; e alguns outros protocolos permitem a sua identificação por nome ou número"
(REDE NACIONAL DE ENSINO E PESQUISA, 2001).
Sobre o ponto de vista da identificação, as listas de acessos em um dado roteador devem ser identificadas de forma única.
Com relação à identificação de uma ACL, esta poderá ser implementada de forma simples por um número ou por um nome, o que facilita a sua administração. Tratando-se de tecnologia CISCO, esse critério passou a ser oferecido pelos seus Sistemas Operacionais de roteadores nas suas duas modalidades a partir da versão 11.2 do IOS.
Vejamos abaixo o exemplo CISCO de lista de acesso:
Tipo de lista de acesso	Nome / Identificador
IP Standard
IP Extended	1 – 99
100 – 199
Por nome (do IOS 11.2 em diante)
IPx Standard
IPx Extended
IPx Filtro SAP	800 – 999
900 – 999
Por nome (do IOS 11.2 em diante)
Apple Talk	600 – 699
Vejamos, abaixo, a lista completa das identificações das ACLs no roteador CISCO. São as chamadas "listas numeradas". Cada número ou range, identifica um tipo de protocolo.
Protocolo	Faixa
IP standard	1 – 99
IP extended	100 – 199
Ethernet type code	200 – 299
Ethernet adress	700 – 799
Transparent bridging (protocol type)	200 – 299
Transparent bridging (vendor code)	700 – 799
Extended transparent bridging	1100 – 1199
DECnet and Extended DECnet	300 – 399
XNS	400 – 499
Extended XNS	500 – 599
Apple Talk	600 – 699
Source-Router bridging (protocol type)	200 - 299
Source-Router bridging (vendor code)	700 – 799
IPX standard	800 - 899
IPX extended	900 – 999
IPX SAP	1000 – 1099
VINES standard	1 -100
VINES extended	101 – 200
Simple VINES	201 - 300 
Quando terminarmos a construção e aplicarmos as ACLs às interfaces dos roteadores, o que teremos serão pontos de crítica ao pacote que entra ou sai de uma dada interface: Lista de Entrada e/ou Lista de Saída, veja a figura a seguir:
 Fonte: Autor
Em que:
Clique nos botões para ver as informações.
ACLs de entrada
ACLs de saída
Percebe-se, com isso, que um roteador pode ir além das funções primordiais que estamos acostumados a ler sobre ele no que se trata das atribuições para as quais ele foi concebido inicialmente:
Rotear pacotes.
Consultar tabelas de rotas.
Trocar tabelas de rota na interação com outros roteadores através de protocolos de roteamento (RIP, OSPF, BGP etc.).
Realizar processo de NAT.
Com a capacidade de implementação de ACLs às suas interfaces, temos um ganho no papel do roteador, atuando nos quesitos de segurança de uma rede. O grande ganho que se tem com a implementação de segurança, utilizando-se os roteadores, é devido ao fato que o roteador pode inspecionar todo o tráfego de entrada, aplicando políticas de segurança e bloqueando o que é indesejável.
Software de firewall adicionado à plataforma roteador
Além de usar Access Control Lists nos roteadores, podemos implementar complementos ao seu Sistema Operacional. Um desses complementos ou módulos adicionais pode ser uma camada de software destinada à segurança. Nesta aula, usarei o modelo da CISCO, para dar exemplos de produtos, mas é importante lembrar que outros fabricantes têm soluções próprias para seus produtos.
O "CISCO IOS firewall" é exemplo das possibilidades que temos de adicionarmos camada de segurança a elementos que não se destinam a esse fim. Aqui, tratamos de tecnologia CISCO, portanto, não vale para um roteador Juniper, Huawei, 3Com etc.
Neste exemplo, o "CISCO IOS firewall" é uma das várias opções de recursos de software adicionais que conferem upgrade de funções no CISCO IOS. Esse pacote, software, traz para os roteadores CISCO um ganho muito grande devido aos recursos avançados de firewall, permitindo aos roteadores que o suportam, adentrarem outro nível de funções e usabilidade na rede.
É claro que há soluções específicas de segurança, mas, com esses pacotes, a CISCO consegue trazer os seus roteadores para o universo de suas soluções de segurança, transformando as plataformas roteadoras em mais um elemento de universo e aprimorando, com isso, a capacidade da rede de suportar aplicativos de Internet, por exemplo, de missão crítica.
Os ganhos que se adquirem quando se adota a camada de software de segurança em um roteador são substanciais: Aumenta-se o leque de opções e a variedade de ferramentas dedicadas à segurança.
O administrador da rede passa a contar, nesse momento, com a capacidade ampliada em funções do roteadores, oferecendo um nível apropriado de funcionalidade para atender aos requisitos da diretiva de segurança.
 (Fonte: Anucha Cheechang / Shutterstock).
Seja como uma unidade autônoma ou trabalhando em conjunto com um dispositivo de firewall dedicado, os recursos do firewall do IOS oferecem opções flexíveis e confiáveis para estender a proteção de segurança em toda a rede.
Esse tipo de solução tem por consequência garantir o nível de disponibilidade de uma infraestrutura de rede, conferindo maior segurança e protegendo-a contra possíveis ataques, vírus e worms da camada de rede e de aplicativos. O que é, de qualquer jeito, aquilo que está nas linhas gerais de qualquer solução de hardware e/ou software dedicado às premissas de segurança, mas aqui está aplicada em adição à camada de rede na figura de um roteador.
Esse tipo de solução é muito útil, por exemplo, nos casos de telefonia IP, protegendo terminais SIP (Session Initiation Protocol) e os respectivos recursos que realizam o processo de controle de chamadas e que estão integrando uma infraestrutura de rede.
 (Fonte: Magnetic Mcc / Shutterstock).
No nosso caso aqui explorado – ambiente CISCO –, o IOS firewall possui comportamento stateful, no qual o processo de inspeção é realizado no nível dos pacotes de acordo com o comportamento do estado deles. Esta é uma funcionalidade fornecida em função do algoritmo de segurança adaptável da Cisco denominado ASA.
O ASA usa uma abordagem estável para segurança. Nessa abordagem, cada pacote de entrada é verificado exaustivamente no ASA e nas informações do estado da conexão na memória.
O ASA aplica as seguintes regras padrão:
1 - Permitir todas as conexões de tráfego originadas da rede interna de alta segurança para uma rede externa de segurança inferior, a menos que seja especificamente negada por uma ACL.
2 - Permitir qualquer tráfego para o qual a inspeção do aplicativo tenha sido configurada e o tráfego tenha sido determinado como aceitável.
3 - Descartar e registrar tentativas de iniciar conexões comum slot de conversão (por exemplo, um servidor protegido pelo firewall) a partir do exterior, a menos que exista uma ACL que permita essa conexão.
4 - Liberar e registrar pacotes IP roteados de origem.
5 - Negar todo o tráfego do protocolo ICMP (Internet Control Message Protocol) de interfaces de baixa segurança através do firewall, exceto se explicitamente permitido. Isso impede que as respostas ao tráfego ICMP de saída possam ser entregues com êxito. Por exemplo, se um host externo for "pingado" usando um eco ICMP, o resultado parecerá uma solicitação expirada porque o pacote de resposta de eco ICMP será bloqueado na interface externa e nunca alcançará o host de origem original.
6 - Permitir todo o tráfego ICMP para o próprio firewall (isso pode ser desativado ou controlado com a inspeção ICMP).
Com isso, vemos que é uma solução adequada, principalmente se observarmos essa usabilidade por parte de filiais, ambientes de pequenas e médias empresas ou serviços gerenciados. É uma boa solução para contenção de ameaças e funciona em complemento com outro tipos de recursos de segurança, tais como NAT e a filtragem de conteúdo, criando em sua conjugação uma solução de ambiente tecnológico completamente integrado, destinado à chamada “segurança de perímetro”.
Os conceitos de segurança, incluindo o termo “segurança de perímetro”, derivaram de termos militares. O perímetro nada mais é do que uma linha imaginária que separa uma empresa de outras redes, geralmente a Internet.
E essa linha de demarcação é implementada por um dispositivo que pode oferecer a comunicação entre as redes, geralmente representada por um roteador ou dispositivo com finalidade similar, anexada ou sequenciada de um dispositivo de segurança, chamado de firewall, ou incorporando a função de firewall em sua arquitetura interna, acumulando a função.
 Fonte: Autor
Concluindo o assunto referente ao roteador suportando uma camada de software adicional, nos resta o seguinte alerta:
Antes de aplicarmos o recurso de camada adicional de função de segurança em um roteador, devemos saber quais são os requisitos necessários que este recurso demanda.
Ou seja, devemos realizar os seguintes questionamentos:
Quanto de memória flash o software necessita?
Qual é a capacidade de memória exigida?
Em qual a versão do Sistema Operacional o roteador deve estar operando?
Qual é a capacidade mínima de processamento disponível no roteador, considerando a sua operação atual?
Se for necessário upgrade do hardware, este tem capacidade de ser expandido?
Qual é o volume de dados esperado que pretendemos encaminhar e analisar no roteador nas suas novas funções?
O roteador possui capacidade de assimilação de novo tráfego e/ou função?
Entendemos agora que não basta simplesmente aplicar a camada de software no roteador, mas, devemos entender nossas demandas, os pré-requisitos para upgrade e as reais condições de capacidade da plataforma que temos nas mãos para realizar a operação. Sem conhecer esses aspectos não poderemos ter sucesso na implementação, quanto mais na operacionalização do processo de segurança.

(Fonte: asharkyu / Shutterstock).
Hardware de firewall adicionado à plataforma roteador
Similar à adição de somente a camada de software nos roteadores, temos também a opção de instalarmos um módulo de hardware nos roteadores além da camada de software de segurança.
O módulo de hardware, uma placa dedicada à função, será o ambiente no qual será executado o software de firewall – uma placa de função específica para suportar esta funcionalidade, e não mais uma aplicação rodando no nível de memória compartilhada em um roteador.
 Fonte: Cisco.
No caso da CISCO, este módulo é denominado “módulo de serviço de dispositivo de segurança adaptável da Cisco” (ASA SM – ASA Service Module). Ele é um hardware de segurança de rede integrado ao roteador, de alta velocidade.
Um exemplo disso é o que acontece com a linha de roteadores CISCO C7600 que possui um módulo de alto desempenho ASA SM, que além de oferecer alto rendimento, possui baixa latência e alta disponibilidade, pré-requisitos necessários para esta função agregada às funções do roteador.
Essa placa tem como característica não possuir interface física para ligações externas. O módulo inclui interfaces lógicas no próprio roteador, se comunicando com este a nível de barramento interno. Se houver necessidade de acessar o firewall, esse processo se dará acessando a porta do console virtual, via roteador.
Firewall em roteador Wi-Fi
Muitas infraestruturas utilizam roteadores de menor porte para tratarem de suas conexões com a Internet. Podem não ser equipamentos com as capacidades dos hardwares das linhas CISCO, Juniper, 3Com, HUAWEI, mas são peças necessárias e que atendem muitas das demandas atuais.
 Fonte: TP Link.
Fica claro que para realizar segmentações internas de rede, viabilizando desempenho com integração entre diversos domínios de redes internas e também externa, devemos primar pelo uso de plataformas performáticas. Porém, algumas corporações possuem restrições de investimento e não precisam de muito poder em seus hardwares de rede.
Como a realidade é aquilo que encontramos na prática e não o que consideramos o ótimo e excelente, devemos nos habituar a encontrar soluções que variam de mecanismos com alto desempenho até soluções chamadas “feijão com arroz” que, popularmente dizendo, “dão para o gasto”. Pode parecer estranho, mas será demandado do agente solucionador ou consultor, o estudo da necessidade e a indicação de uma boa solução que, muitas vezes é mais adequada ao bolso do que ao problema, ou que pelo menos tende a tangenciar o problema.
Baseados nisso, mecanismos menores e mais simples, voltados para pequenos negócios e uso doméstico – linha SoHo (Small-Office/Home-Office) – são desenvolvidos como plataformas de baixo custo para esse perfil de necessidade e usuário.
 (Fonte: Proxima Studio / Shutterstock).
As soluções de roteadores Wi-Fi foram desenvolvidas para facilitar a constituição de redes. Esses dispositivos utilizam em sua estrutura um módulo de software de segurança, pois, apesar de pequenas plataformas, esses hardwares devem poder desempenhar funções de segurança.
Veja a seguir a unção do recurso de firewall nos roteadores Wi-Fi:
Cria mais uma barreira proteger a conexão Wi-Fi, evitando que informações sejam corrompidas, que aconteçam ataques hackers e que malwares ou itens mal-intencionados circulem.
Faz com que ocorra uma varredura, ou filtragem, dos pacotes de dados e endereços de portas da rede. Tal atividade pode servir como mais uma aliada de segurança aos elementos de uma rede tipo PC, que possui a segurança reforçada em conjunto com o firewall de PC que estiver sendo usado, por exemplo o firewall do Windows.
Pode vir desativado nos roteadores Wi-Fi, por padrão, em alguns modelos de roteadores, mas é possível habilitar de forma simples. Veja um exemplo a seguir.
Exemplo
Na plataforma TP-Link – roteador Wireless Gigabit Dual Band AC900Archer C2 –, verificamos que a solução de firewall nos fornece os seguintes quesitos:
DoS (Denial of Service).
Firewall SPI.
Filtro de endereço IP/MAC.
Filtro de domínio.
Vínculo de endereço IP e MAC.