Firewall

Firewall o nome dado ao dispositivo de rede que tem por funo regular o trfego de rede entre redes distintas e impedir a transmisso de dados nocivos ou no autorizados de uma rede a outra. utilizado para evitar que o trfego no autorizado possa fluir de um domnio de rede para o outro. Apesar de se tratar de um conceito geralmente relacionado a proteo contra invases, o firewall no possui capacidade de analisar toda a extenso do protocolo, ficando geralmente restrito ao nvel 4 da camada OSI. Podemos falar tambm sobre: - Firewall de aplicao - Filtros de pacotes - Proxy firewall - Stateful firewall

Firewall de aplicao Firewalls de controle de aplicao (exemplos de aplicao: SMTP, FTP, HTTP, etc.) so instalados geralmente em computadores servidores e so conhecidos como Proxy. Este tipo no permite comunicao direto entre a rede e a Internet. Tudo deve passar pelo firewall, que atua como um intermediador. O Proxy efetua a comunicao entre ambos os lados por meio da avaliao do nmero da sesso TCP dos pacotes. Este tipo de firewall mais complexo, porm muito seguro, pois todas as aplicaes precisam de um Proxy. Caso no haja, a aplicao simplesmente no funciona. Em casos assim, uma soluo criar um "Proxy genrico", atravs de uma configurao que informa que determinadas aplicaes usaro certas portas. Essa tarefa s bem realizada por administradores de rede ou profissionais de comunicao qualificados. O firewall de aplicao permite um acompanhamento mais preciso do trfego entre a rede e a Internet (ou entre a rede e outra rede). possvel, inclusive, contar com recursos de log e ferramentas de auditoria. Tais caractersticas deixam claro que este tipo de firewall voltado a redes de porte mdio ou grande e que sua configurao exige certa experincia no assunto.

Componentes de um firewall: Filtro de pacotes Base de um firewall Dados utilizados Ips Tipo de protocolo (udp/tcp) portas interface de chegada/sada do pacote flags (syn,ack,...) Composto de listas de regras input output forward Filtro de pacotes Stateless Packet Inspection Cada pacote analisado isoladamente no h correlao com outros pacotes tipo mais comum de filtro Statefull Packet Inspection considera o histrico de conexes considera o relacionamento entre pacotes est sendo cada vez mais utilizado Network Address Translation (NAT) Modifica endereos IP e portas Surgiu como soluo para a falta de endereo IP NETWORK ADDRESS Translation (NAT) Source NAT (S-NAT) Destination NAT (D-NAT) Network Address Translation (NAT) Alem da economia de endereo... Limita a exposio da rede interna Interferem no funcionamento das VPNs * IPSec com AH Proxy Trata nvel de alicao * Realiza logs mais detalhados (especficos) * verifica caractersticas especificas de cada aplicao Pode realizar caching Proxy Cada servio requer um Proxy especifico Nem sempre transparente

O que um firewall pode fazer e o que no pode fazer por uma rede O que o Firewall no pode fazer Proteger a rede de usurios internos mal intencionados - O firewall pode evitar que certas informaes saiam de uma companhia atravs da conexo de rede, mas no pode impedir que um usurio copie os dados num disquete e os carregue consigo. Atacantes internos requerem medidas de segurana interna, como segurana de host e educao de usurios. Proteger contra conexes que no passam por ele - O firewall pode apenas controlar o trafego que passa por ele. Se o seu site disponibilizar acesso discado para sistemas internos atrs do firewall, no h nada que o firewall possa fazer para prevenir que intrusos tenham acesso a sua rede por esta via. Proteger contra novas ameaas - Firewalls so projetados para proteger contra ameaas conhecidas. Proteger contra vrus - Embora o firewall verifique todo o trafego que entra na rede interna, esta verificao feita basicamente checando os endereos fonte e destino e os nmeros de porta, no verificando os dados em si. O que o Firewall pode fazer Eis algumas tarefas cabveis a um firewall:

Um firewall um checkpoint; ou seja, ele um foco para as decises referentes segurana, o ponto de conexo com o mundo externo, tudo o que chega rede interna passa pelo firewall; Um firewall pode aplicar a poltica de segurana; Um firewall pode logar eficientemente as atividades na Internet; Um firewall limita a exposio da empresa ao mundo externo. Tipos de Firewall o Filtragem de pacotes o NAT o Servidores Proxy

Filtragem de pacotes o bloqueio ou liberao da passagem de pacotes de dados de maneira seletiva, conforme eles atravessam a interface de rede. O critrio usado ao inspecionar pacotes so baseados nos cabealhos da Camada 3 (IPv4 e IPv6) e Camada 4 (TCP, UDP, ICMP, e ICMPv6). Os critrios mais usados so endereos de origem e destino, porta de origem e destino e protocolo.

Regras de filtragem especificam o critrio em que o pacote deve se enquadrar e a ao resultante, que pode ser bloqueio ou liberao, tomada quando o pacote casa com a regra. As regras de filtragem so avaliadas em seqncia da primeira a ltima. A no ser que o pacote encontre uma regra contendo a palavra-chave quick, o mesmo ser avaliado contra todas as regras de filtragem antes da ao final ser tomada. A ltima regra a casar a "vencedora" e dita qual ao tomar. Existe um pass all implcito no incio das regras de filtragem, que significa que caso o pacote no case com nenhuma regra a ao resultante ser pass. Servidor Proxy Proxy Server x Firewall Inicialmente precisamos definir o que um Servidor Proxy. Proxy uma palavra em ingls que, segundo o Michaelis, significa: Proxy - procurao, procurador, substituto, representante. Portanto Servidor Proxy , em essncia, um equipamento que presta um servio de procurador de um computador de uma rede em outra rede, evitando que o endereo IP do computador seja conhecido na outra rede. O Servio de Proxy age como representante de um usurio que precise acessar um sistema do outro lado do Servidor Proxy. Isto coloca o Servidor Proxy como um dos trs tipos clssicos de Firewall. E o que Firewall? Segundo Michaelis Firewall parede, muro, guarda-fogo. Ento, um Firewall um equipamento e / ou programa que funciona como muro de proteo de uma rede de dados de acessos no desejados, oriundos de outras redes ou equipamentos. Qualquer equipamento que controle o trfego por razes de segurana pode ser chamado Firewall. Os Firewall se dividem em trs tipos bsicos: Roteador de Barreira, Gateway Servidor de Proxy e Tcnicas de inspeo de estado. Tipos de Proxy Existem basicamente dois tipos de Proxy: o Proxy Transparente e o Proxy Controlado. Veja a seguir as diferenas: Proxy Transparente Nele simplesmente feito um repasse de pacotes vindos da internet para uma mquina que est na rede interna. Proxy Controlado Essa a categoria dos softwares especializados em agir como servidores Proxy, como o prprio Squid. Eles possuem mais opes que o Proxy transparente para facilitar o controle de quem pode ou no utilizar o

Proxy, solicitao de autenticao, Proxy para SSL e o uso de listas de controles de acesso (ACL's) que ns veremos mais frente. Vantagens e desvantagens Claro que dependendo do seu caso como um administrador de redes, voc vai ter que decidir qual tipo de Proxy voc vai utilizar. Vo existir casos que um Proxy transparente vai lhe oferecer o suficiente para fazer o que voc quer fazer e vo existir casos em que voc vai precisar de funes que somente um Proxy controlado est disposto a lhe oferecer. Conhea aqui algumas vantagens do Proxy transparente e do Proxy controlado: Proxy Transparente mais simples de ser configurado quando j est habilitado no Kernel, o cliente obrigado a passar pelo Proxy, programas como ICQ funcionam plenamente com ele e no precisa que as mquinas clientes sejam configuradas. Proxy Controlado Com ele voc pode utilizar listas de controles de acesso (ACL's) para controlar quem usa e quem no usa o seu Proxy, pode ser utilizado para uso com SSL, pode servir para liberao de internet mediante autenticao do usurio e, principalmente, possui um sistema de caching, possuindo um desempenho na rede geralmente melhor. Agora as desvantagens: Proxy Transparente Possui menos recursos que um Proxy Controlado, precisa de configuraes no Kernel e, em alguns casos, necessria a recompilao do Kernel do sistema, no possui nenhuma segurana de acesso e no possui um sistema de caching, o que o torna mais lento em uma rede. Proxy Controlado Programas como ICQ e o protocolo SMTP no funcionam muito bem com ele, pode ocorrer dos usurios removerem as configuraes do Proxy assim que voc tiver sado da sala e sua configurao mais complicada. Tipos de ataques e Tcnicas Hacking Source Routing Source routing a habilidade de lidar com um pacote de modo que este seja direcionado a certos roteadores sem que passe pelos roteadores convencionais. Tipicamente, utiliza-se source routing quando um roteador executa o bloqueio de algum tipo de trfego que o invasor deseja explorar, onde

o roteamento alterado na tentativa de burlar o dispositivo de conectividade. Hoje em dia, no ambiente Internet, no existe motivos legtimos que levariam algum a necessidade de ditar o caminho que o pacote dever percorrer at chegar ao seu destino. Desde que o roteamento feito apenas de e para uma respectiva rede privada, deve-se atentar para o cuidado de no aceitar pacotes no roteador de borda que instruam este roteador a encaminhar pacotes para outra rede. necessrio desabilitar o source routing com o comando "no ip source-route". Ip spoofing No contexto de redes de computadores, ip spoofing e a tcnica de subverso de sistemas informticos que consiste em mascarar (spoof) pacotes ip com endereos remetentes falsificados. Devido s caractersticas do protocolo IP, o re-encaminhamento de pacotes feito com base numa premissa muito simples: o pacote dever ir para o destinatrio (endereo-destino); no h verificao do remetente o router anterior pode ser outro, e ao nvel do IP, o pacote no tem qualquer ligao com outro pacote do mesmo remetente. Assim, torna-se trivial falsificar o endereo de origem, i.e., podem existir vrios computadores a enviar pacotes fazendo-se passar pelo mesmo endereo de origem, o que representa uma srie ameaa para os velhos protocolos baseados em autenticao pelo endereo IP. Esta tcnica, utilizada com outras de mais alto nvel, aproveita-se, sobretudo, da noo de confiabilidade que existe dentro das organizaes: supostamente no se deveria temer uma mquina de dentro da empresa, se ela da empresa. Mas isto no bem assim, como indica o pargrafo anterior. Por outro lado, um utilizador torna-se tambm confivel quando se sabe de antemo que estabeleceu uma ligao com determinado servio. Esse utilizador torna-se interessante, do ponto de vista do atacante, se ele possuir (e estiver a usar) direitos privilegiados no momento do ataque. Bom, mas resta a interao com as aplicaes, alm de que as caractersticas do protocolo IP permitem falsificar um remetente, mas no lhe permitem receber as respostas essas iro para o endereo falsificado. Assim, o ataque pode ser considerado cego. Por outro lado, ao nvel das aplicaes, este protocolo frequentemente acoplado ao TCP, formando o TCP/IP. Isto quer dizer que existe encapsulamento do TCP dentro do IP (e os dados dentro do TCP), o que remete ao atacante a necessidade de saber que dados TCP incluir no pacote falsificado. Essa tcnica conhecida por desvio de sesso TCP, ou TCP session hacking em ingls. Existem mtodos para evitar estes ataques, como a aplicao de filtros de pacotes, filtro ingress nos gateways; faz sentido bloquear pacotes provindos da rede externa com endereos da rede local. Idealmente, embora muito negligenciado, usar um filtro egress que iria descartar pacotes provindos da rede interna com endereo de origem no-local que fossem destinados rede

externa pode prevenir que utilizadores de uma rede local iniciem ataques de IP contra mquinas externas. Existem outros ataques que utilizam esta tcnica para o atacante no sofrer os efeitos do ataque: ataques SYN (SYN flooding) ou ataques smurf so exemplos muito citados. Ataque man in the middle Um ataque man-in-the-middle (mitm) um ataque no qual o atacante capaz de ler, inserir e modificar, mensagens entre duas entidades sem que estas tenham conhecimento que a ligao entre ambas esta comprometida. Tipicamente o atacante insere-se no maio da comunicao entre dois pontos, fazendo parte de um canal de comunicao. Esse tipo de ataque porventura aquele mais difcil de detectar e de prevenir, sendo tambm o exemplo clssico de segurana informtica, estando na base de tcnicas de hacking, de descoberta de password, desvio de trfego, ataque de imitao, injeo de pacotes, modificao de pacotes,etc. Tiny fragment Tiny fragment um tipo de ataque que utiliza a fragmentao de pacotes ip para criar fragmentos extremamente pequenos e assim forar o cabealho tcp de informar a ser um fragmento de pacote separado. O ataque designado para evitar as regras de filtragem da poltica de segurana da rede; espera-se que a filtragem implementada no roteador examine somente o primeiro fragmento do pacote transmitido, permitindo assim a passagem dos restantes. Esse ataque pode ser evitado descartando-se aqueles pacotes em que o tipo de protocolo o tcp e o parmetro ip fragmentOffset, especificando no cabealho. Ateque syn SYN flood ou ataque SYN uma forma de ataque de negao de servio (tambm conhecido como Denial of Service - DoS) em sistemas computadorizados, na qual o atacante envia uma seqncia de requisies SYN para um sistema-alvo. Quando um cliente tenta comear uma conexo TCP com um servidor, o cliente e o servidor trocam um srie de mensagens, que normalmente so assim: O cliente requisita uma conexo enviando um SYN (synchronize) ao servidor. O servidor confirma esta requisio mandando um SYN-ACK de volta ao cliente. O cliente por sua vez responde com um ACK, e a conexo est estabelecida. Isto o chamado aperto de mo em trs etapas (Three-Way Handshake).

Um cliente malicioso pode no mandar esta ltima mensagem ACK. O servidor ir esperar por isso por um tempo, j que um simples congestionamento de rede pode ser a causa do ACK faltante. Esta chamada conexo semi-aberta pode ocupar recursos no servidor ou causar prejuzos para empresas usando softwares licenciados por conexo. Pode ser possvel ocupar todos os recursos da mquina, com pacotes SYN. Uma vez que todos os recursos estejam ocupados, nenhuma nova conexo (legtima ou no) pode ser feita, resultando em negao de servio. Alguns podem funcionar mal ou at mesmo travar se ficarem sem recursos desta maneira. Inundao icmp O icmp floof ou inundao icmp o ato de enviar o nmero mximo de pacotes no menor espao de tempo possvel a fim de tornar a conexo de um usurio lenta(leg), desconectando-o da rede. o ataque icmp flood pode ser dividido em duas categorias: usurios de modem e usurios de rede. Um usurio que esteja conectado via modem a 14.400bps de sua casa dificilmente conseguir atacar algum com um icmp flood, pois no tem velocidade para o envio de pacotes suficiente para derrubar algum, e, ao mesmo tempo, pode ser um alvo para outro usurio que esteja conectado a 28.800bps, por exemplo. Para proteger-se do ataque ICMP Flood deve-se usar um programa de ICMP Check que ir lhe dizer de onde esto vindo os pacotes, pois o ICMP no estabelece conexo e, por esse motivo, programas como o netstat, no conseguem identificar a origem do ataque. Tambm um bom firewall para bloqueio de pacotes ICMP vindos de qualquer lugar uma possvel proteo. Um bom programa o Conseal PC Firewall, da Signal9, que tambm atua no caso de ataques utilizando outros protocolos, como TCP, UDP e SYN. Sempre o cliente q tiver a maior conexo consegue derrubar o que tiver a menor conexo: cliente com shell t3, derruba shell t2, que derruba shell t1, derruba modem 56k.....