Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE ZAMBEZE FACULDADE DE CIÊNCIAS E TECNOLOGIA ENGENHARIA INFORMÁTICA-PL DISCIPLINA: Segurança informática em Redes de computadores TEMA: Auditoria em Firewalls Discentes: Alfredo Dias De Carvalho Roque Astrogildo Barreto Docente: Alcamate Dossa Beira Março 2021 1 Indice Introdução ....................................................................................................................................... 3 Auditoria ......................................................................................................................................... 4 Firewall ........................................................................................................................................... 5 Tipos de firerwall ............................................................................................................................ 6 Funcionalidades ........................................................................................................................... 6 Filtro de pacotes .......................................................................................................................... 6 Conversão de endereços de rede Nat........................................................................................... 6 Proxy de aplicação ...................................................................................................................... 6 Segurança da Informação em firewalls ........................................................................................... 7 Confidencialidade........................................................................................................................ 7 Integridade ................................................................................................................................... 7 Disponibilidade ........................................................................................................................... 7 Autenticação ................................................................................................................................ 7 Não-repudio ................................................................................................................................. 7 Legalidade ................................................................................................................................... 7 Privacidade .................................................................................................................................. 7 Auditoria...................................................................................................................................... 7 Processos em auditoria de firewalls ................................................................................................ 8 Verificação de alterações de senhas ..................................................................................... 8 Verificação de existência de logs ......................................................................................... 8 Analise da configuração básica do firewall................................................................................. 8 Analise de regras de acesso do firewall ............................................................................... 9 Validação de usuários cadastrados no firewall .................................................................... 9 Gerar e analisar relatórios a partir de logs................................................................................... 9 Backup de configurações ............................................................................................................ 9 Verificação de versão e modelo do firewall ................................................................................. 10 Testes de firewalls......................................................................................................................... 10 Análise Por Inspeção Visual ......................................................................................................... 10 Análise Automática De Regras ..................................................................................................... 10 Análise Por Injeção De Pacotes .................................................................................................... 10 2 Proposta de Gutmman ............................................................................................................... 11 Sistema Firmato......................................................................................................................... 12 Sistema Fang ............................................................................................................................. 12 Sistema Face ................................................................................................................................. 13 Conclusão ...................................................................................................................................... 14 Referencias bibliográficas ............................................................................................................. 15 3 Introdução O presente trabalho que surge na disciplina de Sirc e tem como tema auditoria em firewall que nos refere que com o passar dos anos, a segurança de redes e sistemas se tornou uma grande necessidade para todas as empresas de pequeno e grande porte. Com a expansão das atividades ilegais envolvendo acessos não autorizados à sistemas e redes de terceiros, tornou-se indispensável o uso de equipamentos de proteção contra estas actividades, um desses equipamentos é o firewall. Com a crescente demanda na utilização de tecnologia para armazenamento de informações, contábeis, financeiras e operacionais, torna cada dia mais importante o aprimoramento dos processos das organizações para extrair e analisar os dados envolvidos no negócio. Entretanto, o crescimento das vulnerabilidades dos sistemas de informação gerou o aumento na utilização de técnicas e ferramentas para proteção desses sistemas e também a necessidade da auditoria na tecnologia da informação para avaliar a conformidade dos controles implementados. 4 Auditoria Definição Segundo Cláudia Dias (2000) Auditoria de Tecnologia da Informação é um tipo de auditoria essencialmente operacional, por meio da qual os auditores analisam os sistemas de informática, o ambiente computacional, a segurança de informações e o controle interno da entidade fiscalizada, identificando seus pontos fortes e/ou deficiências. Cláudia Dias (2000) descreve que auditoria de segurança de informações determina a postura da organização em relação à segurança. Avalia a política de segurança e os controles relacionados com aspectos de segurança institucional mais globais. Na verdade, a auditoria de segurança de informações faz parte da auditoria de tecnologia da informação. A autora também descreve que o escopo da auditoria de segurança envolve: Avaliação da politica de segurança. Controles de acesso lógico. Controles de acesso físico. Controles ambientais. Plano de contingências e continuidade de serviços O principal objetivo de auditoria de redes é certificar – se da confiabilidade da rede no tocante à: ✓ Segurança física: que contemple os equipamentos e os periféricos, arquitetura de rede, sua construção e distribuição; ✓ Segurança lógica: que contemple as customizações dos recursos de softwares, em geral os rendimentos da rede, seu acompanhamento e avaliação de desempenho operacional; ✓ Segurança de enlace: que segure as linhas e canais de transmissões entre unidades e localidades remotas obedecendo aos limitesestabelecidos; ✓ Segurança de aplicação: disponibilidade da rede – poder confiar e contar com os recursos da rede quando o usuário mais precisa dela. A Auditoria de segurança de informação tem por objetivo identificar o status de 5 segurança de uma organização, compreender o ponto que se encontra, e dispor de mecanismos que permitam quantificar a sua segurança. Permitindo localizar uma série de problemas de segurança identificados. Seguidos por recomendações e orientações sobre como sanar as falhas verificadas. Firewall Como definição um firewall é parte de uma rede ou sistemas de computadores desenvolvidos para bloquear acessos não autorizados, ao mesmo tempo em que permite o acesso de comunicações autorizadas no meio. O mesmo pode ser descrito como um dispositivo ou conjunto de dispositivos, configurados para permitir, negar, criptografar, de criptografar, ou analisar o tráfego de entrada e saída de dados dos computadores entre diferentes domínios de segurança, sempre baseados em um conjunto de regras específicas O uso do firewall para proteger redes de computadores é importante, pois firewalls atuam como a primeira linha de defesa. Uma das funcionalidades dos firewalls são a filtragem de pacotes, permitindo ou bloqueando o tráfego de pacotes na rede de acordo com regras inseridas pelo administrador da rede As principais funções do firewall são: • Estabelecer um perímetro de segurança; • Separar as redes e controlar os acessos; • Ser um elemento central de controle e aplicação de políticas de segurança; • Proteger sistemas vulneráveis na rede; • Aumentar a privacidade. • Gerar logs e estatísticas do uso da rede e acessos indevidos. 6 Tipos de firerwall Funcionalidades Filtro de pacotes Os filtros de pacote funcionam controlando os dados que fluem entre suas interfaces de rede. Atuam principalmente nas camadas de rede e de transporte da pilha TCP/IP. Comparando os endereços IP de origem e de destino, o protocolo e, no caso do TCP e do UDP, os números de porta de origem e destino, com um conjunto de regras contidas em uma base de regras e, então determinam uma acção a ser tomada com os pacotes: aceitar, rejeitar ou descartar. Essas regras são geralmente baseadas em informações existentes nos cabeçalhos de cada pacote. Por exemplo no caso de data gramas IP, a filtragem pode ser efectuada a partir de informações de endereços IP de origem e destino, porta de origem e destino, protocolos de transportes utilizado, tipo e código de mensagens icmp, entre outras informações. Conversão de endereços de rede Nat A tradução de endereços de rede permite que endereços IP e números de pacotes sejam trocados no momento em que o pacote flui pelo firewall, os sistemas Nat podem usar diferentes esquemas para realizar a conversão de endereços de uma rede para outra: Alocar dinamicamente um endereço de um computador externo e um par de portas toda vez que um computador interno inicia uma conexão propiciando o uso mais eficiente possível dos endereços de hosts externos ou mascarar o que permite que uma rede utilize internamente um conjunto de endereços de rede e converta estes números em outros diferentes ao lidar com redes externas. Desta forma a Nat oculta os endereços IP internos convertendo todos os endereços dos computadores internos para o endereço, por exemplo, do firewall. Este então retransmite os dados dos computadores internos a partir do seu próprio endereço. Para a rede externa todo trafego da rede parece vir de um único computador, alem disso ajuda a ocultar a topologia da rede interna e a forcar as conexões a passarem por um único ponto controlado da rede. Proxy de aplicação Representam entidades que actuam na camada de aplicação da pilha TCP/IP intermediando a comunicação entre os parceiros de forma transparente ou explicita. Existem entidades de proxy genéricas ou especificas para cada tipo de serviço ou protocolo de aplicação. Alem disso proxies 7 podem agregar outras características importantes de proteção, tais como, filtragem de conteúdo, autenticação de usuários, proxy reverso e etc. Segurança da Informação em firewalls Quando se fala em Segurança da Informação a mesma refere-se à tomada de ações necessárias para a garantia da confidencialidade, integridade, disponibilidade, e a todos os demais aspectos de segurança da informação dentro das necessidades do cliente. Confidencialidade: refere-se à capacidade que um firewall tem em permitir que os usuários acessem determinadas informações, sem que o mesmo conteúdo seja interceptado por outros usuários. Integridade: refere-se à capacidade de um firewall em garantir a integridade e veracidade dos dados recebidos. Disponibilidade: refere-se à capacidade dos firewalls em relação a disponibilidade de acesso. Acesso esse realizado por todos que precisem do dispositivo para a realização dos objetivos da empresa. Sendo mais específico, a disponibilidade refere-se a capacidade de permitir ou de bloquear um acesso em uma rede. Autenticação: o objetivo da autenticação é garantir que um indivíduo confirme sua identidade como usuário na rede. Não-repudio: ter uma prova de que toda ação executada por qualquer usuário possa ser verificada posteriormente. Legalidade: o firewall deve seguir as regras definidas pelo órgão responsável pela segurança na empresa. Privacidade: o firewall deve garantir que os tráfegos autorizados possam ser executados de forma anônima, a fim de garantir a privacidade do usuário. Este processo envolve o anonimato do tráfego de informações referentes a avaliações de funcionários, troca de informações entre sectores, e os serviços prestados pela empresa. Auditoria: o firewall deve ser capaz de auditar todo tipo de ação executada por um usuário em uma rede, detectando tentativas de ataque, ou mesmo fraudes realizadas. 8 Processos em auditoria de firewalls Em empresas de grande porte, a auditoria de segurança em firewalls geralmente é dividida em processos que devem ser constantemente verificados. ✓ Verificação de alterações de senhas de sistema a cada X dias O mesmo garante que os usuários com o péssimo hábito de possuir senhas iguais para todos os sistemas da empresa sejam obrigados a alterar suas senhas em períodos determinados pela própria companhia. Além de forçar a alteração de senhas, as empresas ainda podem utilizar métodos de verificação de caracteres, forçando o usuário do sistema a adotar um conjunto de dígitos variados, como o uso de maiúsculas, minúsculas, caracteres especiais, números, além de uma quantidade mínima de caracteres ✓ Verificação de existência de logs para cada usuário em uma faixa de X dias O registro de logs é a parte mais importante em uma auditoria, pois com eles é possível verificar todas as tentativas de ataque que possam ser realizadas no sistema, obter alertas de mau funcionamento do hardware do firewall e, ainda, ajudar na solução de problemas referentes ao tráfego. Analise da configuração básica do firewall Serviços habilitados no firewall, mas que estejam inativos como serviços nas empresas, possuem um potencial de risco e de vulnerabilidade muito grande. Serviços habilitados, mas em desuso, não são monitorados, e muito menos atualizados como pacotes, caso uma brecha de segurança seja descoberta pelos seus desenvolvedores. Ao serem descobertas brechas de segurança nestes serviços, o perigo passa de potencial para real. Através de uma vulnerabilidade exposta e não monitorada, atacantes podem se beneficiar não somente da vulnerabilidade do serviço, mas também da vulnerabilidade da administração de toda a rede da empresa. serviços não utilizados em seu firewall (exemplo, VoIP) tendo Uma brecha descoberta para este recurso em uma rede sem monitoramento adequado de serviços inativos, pode se tornar um pesadelo Isso faz com queo firewall esteja vulnerável a um serviço que ele não deveria ter. 9 ✓ Analise de regras de acesso do firewall Quando um firewall entra em produção em uma rede, o mesmo deve receber as regras de acesso adequadas para a permissão de determinados tipos de tráfegos. Estes tráfegos geralmente são aprovados pelos responsáveis envolvidos no projeto de implantação deste firewall, garantindo que apenas o necessário seja permitido trafegar pela rede. Desta forma, a cada auditoria, torna-se necessário a verificação de todas as regras de acesso do firewall, a fim de confirmar que apenas o que foi previamente acordado, é o que esta sendo permitido trafegar na rede. ✓ Validação de usuários cadastrados no firewall É normal em qualquer empresa a rotatividade de funcionários, seja na contratação, na demissão, ou na transferência de setor na mesma empresa ou unidade. Desta forma, a validação de usuários é fundamental para garantir que apenas os usuários registrados, e em atividades nos seus devidos setores, tenham acesso coordenado ao sistema e a rede. Esta validação impede o acesso de pessoal não-autorizado aos firewalls e, consequentemente, garante que não sejam efetuadas alterações nos mesmos, que possam ocasionar impactos de magnitude incalculável dentro da empresa. Gerar e analisar relatórios a partir de logs É muito improvável que uma analise de log seja efetuada sem que esteja acontecendo um problema gerador de impacto dentro da empresa. Sendo assim, a geração automática de relatórios – sempre sumarizando os logs de forma a facilitar a identificação e analise de problemas – é algo extremamente necessário em uma auditoria de firewall. Sem esses relatórios a análise diária de milhares (ou até mesmo milhões) de linhas de log, tornaria o processo impossível para qualquer ser humano (um indivíduo ou mesmo uma equipe inteira). Backup de configurações Assim como um sistema precisa de um backup para garantir que qualquer tipo de alteração possa ter um retorno, o firewall também necessita de um backup – porém apenas de suas configurações. Através da realização de backups, todas as alterações feitas nas configurações podem ser analisadas e, em caso de uma falha, as versões podem ser facilmente comparadas entre si, facilitando assim a identificação do problema. 10 Verificação de versão e modelo do firewall Os fabricantes de dispositivos de segurança disponibilizam com freqüência alertas de segurança informando as possíveis vulnerabilidades que podem permitir ataques do tipo DoS ou DDoS. Inclusive, essas vulnerabilidades podem até mesmo garantir acessos não autorizados ao próprio firewall. Normalmente esses alertas vêm sempre acompanhados da solução do problema, podendo ser desde a necessidade da desabilitação de um determinado comando, ou até mesmo uma indicação de urgência para uma atualização no sistema operacional do próprio firewall. Sendo assim a verificação de versões destes dispositivos deve ser um procedimento freqüente, para assim garantir a segurança da rede como um todo. Testes de firewalls Técnicas são utilizadas para analisar o que um firewall está permitindo ou restringindo, as principais são: inspeção visual, análise automática de regras e injeção de pacotes. Análise Por Inspeção Visual Esta técnica consiste na verificação visual de cada regra existente na base de regras, com o objetivo de descobrir principalmente a existência de erros de sintaxe e conflitos entre regras. Análise Automática De Regras Neste caso, ferramentas automatizadas, geralmente de fabricantes específicos são utilizadas na verificação de sintaxe e funcionalidade, ou seja, se a regra está seguindo o padrão de sintaxe para o equipamento testado Análise Por Injeção De Pacotes Nesta técnica, pacotes são injetados em cada interface (de entrada ou de saída) e, posteriormente são realizadas verificações em determinados registros de quais pacotes foram permitidos, bloqueados ou descartados pelo firewall (VERMA, 2005). 11 Se a análise for realizada, por exemplo, de uma rede pública (Internet) para uma rede privada (intranet), pacotes são injetados na interface de entrada (externa) do firewall com blocos de endereços IP válidos na Internet e combinados com os protocolos nas portas possíveis (0 a 65535), aplicando as regras existentes na base de regras. O resultado obtido fornece as ações que o firewall está tomando na direção da interface externa para as interfaces internas. Fig01. Injeção de pacotes de informação no firewall. Exemplos de ferramentas automatizadas para testes. Proposta de Gutmman Gutman apresenta m sistema que utiliza uma linguagem lisp para expressar a politica de restrição de acesso a rede que deve ser implementada nos firewalls. Ele propõe dois algoritmos, que dada a topologia de rede e a politica de restrição de acesso a rede gera automaticamente a base de regras parra o firewall. O principal ojecticvo da geração automática da base de regras e assegurar a correcta implementação da politica de restrição de acesso a rede. O segndo algoritmo caso já exista uma base de regras implementada, permite a conversão da base de regras para uma nova base de regras que utilize a sintaxe da linguagem. A partir disso compara-se a o novo conjunto de regras com a politica de restrição de acesso a rede já descrita na linguagem, para determinar a existência de violações na politica de segurança ou para reportar que não existem violações. 12 Sistema Firmato E m sistema de que consiste em conjunto de ferramentas de analise passivo, que não injecta pacotes, para gerenciamento de firewalls distribuídos em redes onde existem mais de um firewall. Este conjunto de ferramentas foi implementado para trabalhar com produtos de firewalls disponíveis comercialmente, por a ideia estabelecer uma linguagem de alto nível que seja valida para analisar firewalls de forma genérica, independente de marca ou modelo. Este sistema e capaz de separar a politica de segurança das especificidades de cada fabricante de firewall, permitindo assim ao administrador de segurança focar no projecto e politica de segurança apropriada sem se preocupar coma complexidade, ordenação e outras questões de configuração das regras de firewalls, consideradas de baixo nível. Isto permite um gerenciamento unificado de firewalls de diferentes fabricantes e maior facilidade na transição, caso exista a substituição de um firewall por um modelo de outra fabricante. Este sistema também e capaz de separar o projecto da politica de segurança do projecto da topologia da rede em questão, permitindo assim ao administrador manter a consistência da politica em face das mudanças de topologia da rede. Alem disso esta separação também permite ao administrador reusar a politica semelhante em diversas empresas com diferentes topologias de rede, ou para permitir pequenas companhias a usar projectos e politicas padrão. Ele também gera arquivos de configuração do firewall automaticamente a partir da politica de segurança, simultaneamente para múltiplos equipamentos de firewalls. Isto reduz a probabilidade de introduzir brechas na segurança causadas por erros em arquivos de configuração. Sistema Fang Este foi proposto para mitigar a dificuldade que existe em configurar gerenciar e testar firewalls principalmente quando se possui mais de um e de fabricantes distintos. Ele permite ao administrador testar a politica de segurança seja esta uma politica implementada ou planeada. Ela utiliza uma descrição mínima da topologia de rede e analisa directamente os vários arquivos de configuração, interagindo com o usuário em um nível de abstração mais alto por meio de uma sessão de perguntas e respostas. 13 Ele e passivo, não necessitando de injeção de pacotes e deve ser atualizado, porque a analise deve refletir com precisão a politicaque e efetivamente aplicada no momento ou que esta prestes a ser aplicada Ele deve ser eficiente, não devendo depender de números de maquinas da rede e só depender do numero de regras nas varias bases de regras Ele de forma resumida lê os arquivos de configuração de todos os fabricantes específicos e constrói uma representação da politica contida. Ele então simula a politica do firewall comparando com a aquestao, e apresenta os resultados na tela do usuário. Sistema Face Neste o administrador tem a possibilidade de gerar automaticamente e analisar configurações para um ou mais firewalls da rede especificando a politica de filtragem e o modelo de ameaça aos quais um firewall deve prover defesa, por exemplo, contra um trafego forjado em pontos específicos da rede. O avanço considerado neste sistema e o facto de ele poder negar pacotes que tenham sido forjados para eliminar as principais formas de ataques aos firewalls que são o spoof e smurf. 14 Conclusão O processo de auditoria de segurança em firewalls e um procedimento complexo e extenso, que certamente exige muito trabalho de toda uma equipe bem treinada. Este processo envolve a verificação periódica de todos os itens que fazem parte do procedimento de segurança da empresa. Nota-se que as ferramentas automáticas apesar de algumas serem complexas, reduzem significativamente os erros humanos que poderiam ocorrer com a inspeção visual visto que os firewalls possuem por vezes uma base de regras muito grande e complexa. A importância dessas ferramentas e extrema e indispensável que elas representam a proteção primaria para redes e computadores. 15 Referencias bibliográficas SCHMIDT, P.; SANTOS, J. L.; ARIMA, C. H. Fundamentos de auditoria de sistemas. São Paulo: Atlas, 2006. FOROUZAN, Behrouz A. Comunicação de Dados e Redes de Computadores. fourth. [S.l.]: McGraw Hill, 2008.
Compartilhar