Professional Documents
Culture Documents
CURITIBA
2013
CURITIBA
2013
TERMO DE APROVAO
______________________________
Prof. Esp. Srgio Moribe
Responsvel pela Atividade de Trabalho de Concluso de Curso
Departamento Acadmico de Eletrnica
BANCA EXAMINADORA
_____________________________
Prof. Dr. Kleber Nabas
UTFPR
_______________________________
Prof. MsC. Lincoln Herbert Teixeira
UTFPR
____________________________
Prof. Dr. Augusto Foronda
Orientador UTFPR
A Folha de Aprovao assinada encontra-se na Coordenao do Curso
RESUMO
SOEIRA, Brbara Valeska; SILVA, Fernando Csar da; TABORDA, Leticia Batista.
Implementao do Firewall Cisco ASA 5500. 2013. 64 f. Trabalho de Concluso
de Curso (Curso Superior de Tecnologia em Sistemas de Telecomunicaes),
Departamento Acadmico de Eletrnica, Universidade Tecnolgica Federal do
Paran, Curitiba, 2013.
Sigilo da informao sempre foi uma das principais preocupaes no mundo dos
negcios e a sua relevncia vem crescendo medida que novas solues so
criadas para a proteo de dados e controle de acessos. Este trabalho tem por
objetivo apresentar a necessidade e a importncia de um dos principais
componentes de um sistema de segurana de rede: o firewall. O desenvolvimento
consiste na pesquisa deste equipamento, mostrando as suas funcionalidades e
formas de implantao em ambientes corporativos, o qual pode ser aplicado desde a
sua maneira mais clssica de arquitetura at em novos modelos, mais avanados e
complexos. Dentro deste tema de pesquisa e avaliando as melhores solues
disponveis no mercado, encontramos o firewall da famlia Cisco ASA 5500 e atravs
da anlise deste equipamento especfico poderemos observar como um determinado
modelo de firewall pode conter diversas tcnicas e aplicaes que podero auxiliar
nas mais variadas estratgias de segurana dentro de qualquer empresa.
Palavras chave: Firewall. Segurana de rede. Filtro de pacotes. ASA 5500.
ABSTRACT
SOEIRA, Brbara Valeska; SILVA, Fernando Csar da; TABORDA, Leticia Batista.
Implementation of Firewall Cisco ASA 5500. 2013. 64 f. Trabalho de Concluso de
Curso (Curso Superior de Tecnologia em Sistemas de Telecomunicaes),
Departamento Acadmico de Eletrnica, Universidade Tecnolgica Federal do
Paran (UTFPR), Curitiba, 2013.
Confidentiality of information has always been a major concern in the business world
and its relevance is increasing, in that new solutions are created for data protection
and access control. This work aims to present the need and importance of one of the
main components of a security system network: the firewall. The development
consists in the research of this equipment, showing its features and forms of
deployment in enterprise environments and can be applied since its way more
classical architecture or new models, more advanced and complex. Within this
research theme and evaluating the best solutions available in the market, is the
family firewall Cisco ASA 5500 and through analysis of this specific equipment, you
can see how a particular model may contain several firewall techniques and
characteristics of network application that assist
in various security strategies within any company.
Keywords: Firewall. Network security. Packet filter. ASA 5500.
LISTA DE FIGURAS
Figura 1 Filtro de pacotes ....................................................................................... 15
Figura 2 Filtro de pacotes baseado em estados ..................................................... 17
Figura 3 Firewall em nvel de aplicao ................................................................. 18
Figura 4 Tipos de proxies ....................................................................................... 19
Figura 5 Ilustrao de um firewall na rede.............................................................. 22
Figura 6 Dual-homed host architecture .................................................................. 23
Figura 7 Screened host architecture ...................................................................... 24
Figura 8 Screened subnet architecture .................................................................. 25
Figura 9 Modelos da famlia ASA 5500 .................................................................. 30
Figura 10 ASA 5585 ............................................................................................... 34
Figura 11 Firewalls em redundncia ativo/ativo ..................................................... 35
Figura 12 Topologia da empresa Alfa .................................................................... 35
Figura 13 Modos de operao Promscuo........................................................... 40
Figura 14 Modos de operao Inline ................................................................... 40
Figura 15 Rede da empresa Gama ........................................................................ 45
Figura 16 Configurao uma policy de IPS 1 ......................................................... 50
Figura 17 Configurao uma policy de IPS 2 ......................................................... 51
Figura 18 Configurao uma policy de IPS 3 ......................................................... 51
Figura 19 Configurao uma policy de IPS 4 ......................................................... 52
Figura 20 Configurao uma policy de IPS 5 ......................................................... 52
Figura 21 Configurao uma policy de IPS 6 ......................................................... 53
Figura 22 Configurao uma policy de IPS 7 ......................................................... 53
Figura 23 Configurao uma policy de IPS 8 ......................................................... 54
Figura 24 Configurao uma policy de IPS 9 ......................................................... 54
Figura 25 Configurao uma policy de IPS 10 ....................................................... 55
Figura 26 Configurao uma policy de IPS 11 ....................................................... 55
Figura 27 Configurao uma policy de IPS 12 ....................................................... 56
Figura 28 Configurao uma policy de IPS 13 ....................................................... 56
Figura 29 Configurao uma policy de IPS 14 ....................................................... 57
Figura 30 Configurao uma policy de IPS 15 ....................................................... 57
Figura 31 Configurao uma policy de IPS 16 ....................................................... 58
Figura 32 Configurao uma policy de IPS 17 ....................................................... 58
Figura 33 Configurao uma policy de IPS 18 ....................................................... 59
Figura 34 Configurao uma policy de IPS 19 ....................................................... 59
Figura 35 Configurao uma policy de IPS 20 ....................................................... 60
Figura 36 Configurao uma policy de IPS 21 ....................................................... 60
Figura 37 Configurao uma policy de IPS 22 ....................................................... 61
Figura 38 Configurao uma policy de IPS 23 ....................................................... 61
Figura 39 Configurao uma policy de IPS 24 ....................................................... 62
Figura 40 Configurao uma policy de IPS 25 ....................................................... 62
Figura 41 Configurao uma policy de IPS 26 ....................................................... 63
Figura 42 Configurao uma policy de IPS 27 ....................................................... 63
Figura 43 Configurao uma policy de IPS 28 ....................................................... 64
SUMRIO
1. INTRODUO ....................................................................................................... 8
1.1. PROBLEMA ........................................................................................................ 9
1.2. JUSTIFICATIVA .................................................................................................. 9
1.3. OBJETIVOS ...................................................................................................... 10
1.3.1. Objetivo Geral ................................................................................................ 10
1.3.2. Objetivos Especficos ..................................................................................... 10
1.4. MTODO DE PESQUISA ................................................................................. 11
2. CONCEITO DE FIREWALL ................................................................................. 12
2.1. TIPOS DE FIREWALL ....................................................................................... 14
2.1.1. Filtros de pacotes ........................................................................................... 15
2.1.2. Filtros de pacotes baseado em estados ......................................................... 16
2.1.3. Firewall em nvel de aplicao ....................................................................... 18
2.1.4. Firewalls Hbridos ........................................................................................... 19
2.1.5. Proxy .............................................................................................................. 19
2.1.6. Proxies adaptativos ........................................................................................ 20
2.2. ARQUITETURA ................................................................................................. 21
2.2.1. Dual-Homed Host Architecture ....................................................................... 23
2.2.2. Screened Host Architecture ............................................................................ 24
2.2.3. Screened Subnet Architecture ........................................................................ 25
2.3. NECESSIDADES DE UM FIREWALL NA EMPRESA ...................................... 26
3. FIREWALL ASA 5500 ......................................................................................... 28
3.1. INTRODUO AOS SISTEMAS CISCO ASA .................................................. 29
3.1.1. Modelo ASA 5520 .......................................................................................... 31
3.1.2. Modelo ASA 5585 .......................................................................................... 31
4. EXEMPLOS PRTICOS ...................................................................................... 33
4.1. EXEMPLO 1 EMPRESA ALFA ....................................................................... 33
4.2. EXEMPLO 2 EMPRESA BETA ...................................................................... 39
4.3. EXEMPLO 3 EMPRESA GAMA ..................................................................... 45
5. CONCLUSO ...................................................................................................... 47
REFERNCIAS ........................................................................................................ 48
APNDICE A Configurao do failover do firewall secundrio, na empresa
Beta ....................................................................................................................... 50
1. INTRODUO
O desenvolvimento de ambientes seguros que garantam a segurana das
informaes e a integridade dos dados, atualmente fundamental e vital para as
empresas se manterem no mercado. Diante deste contexto, torna-se essencial a
utilizao de tecnologias que evitem a exposio de informaes confidenciais e
manipulao de dados corporativos por usurios no autorizados.
Os acessos s informaes foram se modificando com o passar do tempo,
assim como a implementao de novas tecnologias para proteger os dados
corporativos.
O mercado disponibilizou diversos recursos como antivrus, firewalls, proxy,
NAT (Network Address Translation), entre outros, que provm ferramentas que
ajudem na proteo dos dados e minimizem os ataques rede.
Enquanto o antivrus responsvel por proteger o sistema contra vrus, como
cavalos de tria, spyware, worms, o firewall atua com o objetivo de proteger a rede e
no permitir que informaes sejam extradas ou perdidas da LAN (Local Area
Network), ou at mesmo a entrada de usurios no cadastrados.
Objetivo de estudo desse projeto, o firewall uma das tecnologias mais
utilizadas e sua funo bsica filtrar os pacotes da rede (tanto entrada como
sada), de forma que se possa evitar que os pacotes que contenham contedo
nocivo rede entrem na LAN e cause prejuzos.
Dentro desse contexto, o firewall ASA (Adaptive Security Appliance) 5500
um exemplo de uma nova ferramenta com este propsito.
1.1.
PROBLEMA
de
informaes
confidenciais,
desvio
eletrnico
de
recursos
congestionamento de servios.
Observa-se que a demanda por controle e segurana de rede tem
aumentado e com isso surgem alguns questionamentos: Qual o melhor sistema de
segurana a ser implantado? Onde, dentro da LAN, esse sistema deveria ser
implantado? Depois de implantado quais sero os benefcios desse sistema?
Perante o exposto, ser apresentado um estudo sobre o firewall, assim
como a importncia de implementar esse sistema no mbito corporativo. Porm
importante salientar que no o nico dispositivo de segurana de rede, contudo um
dos mais importantes.
Atravs do estudo do funcionamento do firewall, suas configuraes e
formas de implementao, iremos apresent-lo como uma opo para a resposta
das perguntas acima e demonstrar a importncia da implantao desse sistema.
1.2.
JUSTIFICATIVA
10
Facilidade de gerenciamento.
1.3.
OBJETIVOS
11
1.4.
MTODO DE PESQUISA
12
2. CONCEITO DE FIREWALL
de
controles
adequados,
incluindo
polticas,
processos,
13
Neste contexto surge o firewall como um mecanismo de defesa, que pode ser
definido como um ponto entre duas ou mais redes, no qual circula todo o trfego. A
partir desse nico ponto, possvel controlar e autenticar o trfego, alm de
registrar, por meio de logs, todo o trfego da rede, facilitando sua auditoria
(CHESWICK; BELLOVIN; RUBIN, 2003).
Baseado nessas definies apresentadas pode se descrever um firewall como
um ponto entre duas ou mais redes, composto por um elemento ou conjunto de
componentes, que possui a capacidade de restringir, controlar, autenticar e registrar
todo o trfego de uma rede.
O objetivo do firewall basicamente proteger uma rede especifica das
ameaas que uma rede pblica no confivel pode oferecer. Essa rede especfica
pode ser toda uma LAN de uma empresa da Internet, por exemplo, ou at mesmo
uma sub-rede especfica da empresa ou grupos de trabalho exclusivo das demais
reas da empresa. Por exemplo, a rea financeira de um banco possui um maior
controle das informaes, e deve possuir um controle dos pacotes trocados entre as
reas da prpria empresa para evitar que informaes sejam repassadas as
pessoas erradas ou evitar que um pacote nocivo entre nessa sub-rede.
O firewall pode ser caracterizado como um conjunto de elementos e
funcionalidades que determinam a arquitetura de segurana de uma empresa, e
para isso pode utilizar uma ou mais tecnologia de filtragem. Hoje em dia o que
ocorre que essas diferentes tecnologias podem ser incorporadas em um nico
equipamento, o que faz como que as pessoas faam a analogia do firewall a um
nico componente da rede, porm, um produto isolado no o que faz uma rede se
tornar segura, mas sim, um sistema estruturado com elementos fsicos,
funcionalidades, arquitetura, tecnologias e uma poltica de segurana confivel
(AWICHY; CHAPMAN, 1995).
14
2.1.
TIPOS DE FIREWALL
Firewall
pode
ser
classificado,
como
componente
ou
conjunto
de
componentes que restringe o acesso entre uma rede protegida e a Internet, ou entre
outros conjuntos de redes.
possvel compreender que ele tambm vai alm de uma simples barreira de
proteo contra ataques externos, pois pode ser utilizado como uma proteo dentro
da rede, controlando de trfegos a servidores especficos (AWICHY; CHAPMAN,
1995).
Podemos definir como componentes bsicos de um firewall: filtros, proxyes,
bastion hosts e zonas desmilitarizadas. Porm, essa definio vem sofrendo uma
evoluo natural e devido s novas necessidades de segurana algumas
15
16
Transparente ao usurio;
Gerenciamento de trfego.
17
que os demais pacotes sejam aceitos, eles sempre devem estar inseridos em uma
sesso, caso contrrio eles sero descartados. Para que isso funcione de forma a
aumentar o desempenho do sistema, apenas os pacotes SYN sero comparados
com as tabelas de regras e os demais pacotes so comparados com a tabela de
estados, o que torna o processo dinmico, (NAKAMURA; GEUS, 2007).
Esse filtro se torna mais eficaz, pois o conjunto de regras utilizado apenas
no incio das conexes, as quais usam os flags SYN. Esse fato faz com que se torne
mais fcil administrar o sistema diminuindo as possveis falhas que podem ocorrer
quando implementado somente o filtro de pacotes (ALECRIM, 2004).
Para filtragem de pacotes UDP, que no temos conexo orientada, ou de
pacotes RPC, o qual tem alocao dinmica de portas, o firewall de pacotes
baseado em estados apenas armazena dados de contexto, ou seja, o firewall
mantm uma conexo virtual das comunicaes UDP e RPC, e quando um pacote
chega rede ele verificado com a tabela de estados e se a tabela indicar que
existe uma sesso pendente desse tipo de pacote, o mesmo aceito, caso contrrio
negado, (NAKAMURA; GEUS, 2007).
18
19
2.1.5. Proxy
Para o proxy funcionar corretamente, a conexo deve ser por TCP, pois
precisamos que ela seja orientada. Resumidamente o usurio se conecta a uma
porta TCP no servidor proxy e depois dessa conexo estabelecida, liberado o
acesso a conexo de uma rede externa aps uma autenticao no firewall. O proxy
pode trabalhar em trs camadas: sesso, transporte (circuit level gateway) ou
aplicao (application level gateway) (Figura 4), e por trabalhar na camada de
aplicao, isso faz que ele tenha um maior controle sobre a interao clienteservidor (NAKAMURA; GEUS, 2007).
20
servidor por meio do controle de requisio de servios e garantir que certos eventos
sejam proibidos (ALECRIM, 2004).
O servidor proxy flexvel e permite a criao de um cdigo especial para
cada servio a ser aceito. Ele no suficiente para se evitar ataques, porm agrega
uma segurana a mais a rede. O proxy permite tambm a possibilidade de registrar
todos os trfegos da rede, possibilitando um aviso quando se tem um trfego no
confivel em andamento na rede (NAKAMURA; GEUS, 2007).
Vantagens do Proxy (NAKAMURA; GEUS, 2007):
Autenticao de usurio;
Monitoramento bidirecional;
21
2.2.
ARQUITETURA
22
23
24
Essa arquitetura indicada para: uma rede que possua um trfego pequeno
para Internet, o trfego para a Internet no seja vital para o negcio da empresa e
que a mesma no provenha nenhum servio para a Internet.
2.2.2. Screened Host Architecture
25
26
2.3.
27
necessrio
antes
de
instalar
firewall
atualizando
Bloqueio de servios;
28
29
3.1.
5580 e 5585-X Adaptive Security, esta linha de equipamentos traz um novo nvel de
segurana e controle de polticas de aplicativos e redes. O MPF (Modular Policy
Framework) permite polticas de segurana especficas de fluxo altamente
personalizvel que so adaptveis s necessidades de aplicao em cada empresa.
O desempenho e a extensibilidade da Cisco ASA 5500 Series reforada
atravs SSMs (Security Services Modules) instalados pelo usurio. Essa arquitetura
flexvel permite s empresas implementar rapidamente servios de segurana
quando e onde eles so necessrios, tais como a adaptao de tcnicas de
inspeo para aplicao especfica e as necessidades do usurio ou a adio de
preveno de intruso adicional e servios de segurana de contedo, como
aqueles entregues pela AIP (Advanced Inspection and Prevention) e CSC (Content
Security and Control). Alm disso, a arquitetura de hardware modular do Cisco ASA
5500 Series, juntamente com o poderoso MPF, proporciona a flexibilidade
necessria para atender s futuras exigncias de segurana da rede e, estendendo
a excelente proteo de investimento fornecidos pela Cisco ASA 5500 Series e
permitindo que as empresas se adaptarem as suas defesas de rede a novas
ameaas que possam surgir.
Na figura 9 so apresentadas as caractersticas bsicas dos modelos ASA:
30
licenciados,
31
32
Cisco ASA 5585-X. Este equipamento visa atender s crescentes necessidades das
organizaes mais dinmicas da atualidade. Os aparelhos combinam firewall mais
avanados do mundo com IPS (Intrusion Prevention Service) eficazes mais
abrangentes da indstria, oferecendo a soluo de segurana mais eficaz na
indstria para diminuir significativamente os riscos a segurana. H quatro modelos
de Cisco ASA 5585:
33
4. EXEMPLOS PRTICOS
4.1.
34
35
Abaixo segue a topologia (Figura 12) a qual essa configurao foi ativada. Os
endereos IPs foram modificados a fim de garantir a seguranas das informaes:
36
interface
10.0.4.11
failover group 1
primary
preempt
failover group 2
secondary
preempt
ip
folink
10.0.4.1
255.255.255.0
standby
37
admin-context admin
context admin
description admin
allocate-interface Ethernet1
allocate-interface Ethernet2
config-url flash:/admin.cfg
join-failover-group 1
context ctx1
description context 1
allocate-interface Ethernet3
allocate-interface Ethernet4
config-url flash:/ctx1.cfg
join-failover-group 2
38
interface
ip
folink
10.0.4.1
255.255.255.0
standby
10.0.4.11
39
4.2.
40
41
42
43
44
Figura Acesso VPN permite que usurios externos acessem a rede interna
Fonte: Autoria prpria
45
4.3.
ferro fundido, suas sedes instaladas no Sul do Brasil, a Gama sempre prezou pela
alta segurana das suas informaes e acessos. Diante dessa necessidade, foi
realizado um projeto, para a implantao de firewalls na sua rede.
Na figura 15, h a topologia, onde h firewalls em cada localidade. So
firewalls modelo ASA 5520 da Cisco.
46
conexes remote access (via VPN Client IPsec ou AnyConnect SSL) permitindo que
um usurio feche uma VPN dedicada da mquina dele para o site (client to site).
A VPN tambm funciona como um backup dos links principais da Embratel,
ou seja, caso um link da Embratel falhe, o ASA detecta (atravs de IP SLA
Service-Level Agreement monitoring) e muda sua tabela de roteamento. Com isso,
a nova tabela indica que o trfego deve seguir via VPN e uma VPN dinmica
fechada dos sites remotos para a matriz em Joinville.
Isto feito via uma conexo de Internet ADSL com IP dinmico (o site matriz
no sabe qual IP cada filial ter);
47
5. CONCLUSO
segurana,
confidencialidade,
produtividade
desempenho,
48
REFERNCIAS
ALECRIM, Emerson. Firewall: Conceitos e Tipos. 2004. Disponvel em:
<http://www.infowester.com/firewall.php>. Acesso em: 12 nov. 2012;
AWICHY, Elizabeth; CHAPMAN, D. Brent. Building Internet Firewalls. ORelly &
Associates, Inc. 1995.
49
50
interface GigabitEthernet0/6
no shutdown
interface GigabitEthernet0/7
no shutdown
failover lan unit primary
failover lan interface FAILOVER GigabitEthernet0/7
failover link LINK GigabitEthernet0/6
failover interface ip FAILOVER 10.22.39.253 255.255.255.252
standby 10.22.39.254
failover
interface
ip
LINK
10.22.39.249
255.255.255.252
standby 10.22.39.250
failover
51
52
5. Selecionar a opo global (para aplicar esta policy em todo o trfego) ou interface.
53
54
55
11. Habilitar a inspeo do trfego pelo mdulo de IPS, selecionando o box Enable
IPS for this traffic flow
56
13. Configurar qual ser a ao tomada, caso o mdulo de IPS falhe (falha de
software ou hardware). Neste caso, foi configurado para permitir que o trfego passe
sem inspeo, sendo este trfego malicioso ou no:
57
58
59
60
61
62
63
64