Pens An Do Firewalls

Firewalls
A Primeira Linha de Defesa

Como montar uma estrutura de firewall que impea invases.
Segurana de Rede
Prof. Joo Bosco M. Sobral
Por que Firewall ?

Hoje, o mundo respira Internet. A Internet que o mundo respira no segura. Security Module (2003):

Pesquisa Nacional de Segurana da Informao. 60% : Internet o principal ponto de invaso. 78% : ameaas, riscos e ataques tendem a aumentar em 2004. 32% : crackers so os principais invasores. 26% : no conseguem identificar os responsveis. Nmero de empresas com ataques e invases: 43% (2002) e 77% (2003).
Prof. Joo Bosco M. Sobral 2
Segurana de Rede
Por que Firewall ?
Internet Uma imensa rede descentralizada e no gerenciada, rodando sob uma sute de protocolos denominada IPv4, que no foi projetada para assegurar a integridade das informaes e realizar controles de acesso.
Segurana de Rede
Por que Firewall ?
De que forma um software denominado Firewall consegue mudar este paradigma ?
Existem diversas formas de se violar uma rede, mas essas formas nada mais fazem do que se aproveitar de falhas em servios de rede e protocolos.
Segurana de Rede
Por que Firewall ?
Mas o que um Firewall poder fazer por tais servios e protocolos ? Neste sentido, pouco ser a utilidade de um Firewall. Um Firewall no pode corrigir erros em servios e protocolos. Mas, se disponibilizarmos todos os servios que precisamos e limitarmos seu uso apenas a redes autorizadas ou a certos hosts confiveis ?
Segurana de Rede
Por que Firewall ?

Quem far essa separao ? Quem bloquear conexes desconhecidas e no autorizadas em minha rede ? Esta uma das utilidades de um Firewall. Sem um Firewall, cada host na rede interna, seria responsvel por sua prpria segurana. Sendo o nico computador diretamente conectado Internet, poder de forma segura levar servios de inter-conectividade rede interna.
Segurana de Rede
Por que Firewall ?
Um Firewall no possui a funo de vasculhar pacotes a procura de assinaturas de vrus. Um Firewall poder evitar que a rede interna seja monitorada por Trojans e que os mesmos troquem informaes com outros hosts na Internet. Poder evitar que a rede interna seja vasculhada por um scanner de portas.
Segurana de Rede
Por que Firewall ?
Poder bloquear qualquer tentativa de conexo vinda da Internet para um host na rede interna. Mas, as ameaas esto to somente na Internet ?
FBI : 90% das invases bem sucedidas a servidores corporativos, os usurios da rede (autorizados) tiveram algum nvel de parcela de culpa.

senhas mal escolhidas. usurios descontentes.

Segurana de Rede
Por que Firewall ?
As ameaas passam a vir de todos os lados: Internet e rede interna (corporativa).
Um firewall poder bloquear tanto o acesso externo, como acesso interno, liberando apenas para algumas mquinas.
Segurana de Rede
Conceito de Firewall destinados rede
Mecanismo de segurana interposto entre a rede interna (corporativa) e a rede externa (Internet), com a finalidade de liberar ou bloquear o acesso de computadores remotos na Internet, aos servios que so oferecidos dentro de uma rede corporativa.
Segurana de Rede
10
Conceito de Firewall destinados uma Mquina
Tambm, temos os Firewalls Home, destinados a uma mquina ou uma estao de trabalho (workstation). Exemplo: ZoneAlarm para Windows.
Segurana de Rede
11
Firewalls
Sendo um firewall o ponto de conexo com a Internet, tudo o que chega rede interna deve passar pelo firewall. responsvel pela aplicao de regras de segurana. E em alguns casos pela autenticao de usurios, por logar trfego para auditoria. mecanismo obrigatrio num projeto de segurana.
Segurana de Rede
Por que Firewall ?
Um Firewall poder especificar que tipos de protocolos e servios de rede sero disponibilizados, tanto externa quanto internamente.
Segurana de Rede
13
Por que Firewall ?
Um Firewall pode controlar os pacotes de servios no confiveis:

rlogin, telnet, FTP, NFS, DNS, LDAP, SMTP, RCP, X-Window.

Segurana de Rede
Por que Firewall ?
Pode realizar compartilhamento de acesso Internet a toda a rede interna sem permitir a comunicao direta entre as mesmas. Bloquear acesso indevido a sites e hosts no-autorizados.
Segurana de Rede
15
Por que Firewall ?
Porque as empresas devem se conectar Internet com algum nvel de preparo especfico para este fim.
Segurana de Rede
16
Lembrando ...
Nada evitar que ameaas, ataques e invases continuem a existir.
O que definir se sero bem sucedidas ou no ser o conhecimento embutido em seu Firewall e demais ferramentas de segurana.
Segurana de Rede
17
Kernel e Firewall
Tudo o que chega ou sai de um computador processado pelo kernel do sistema operacional desse computador. No Linux, as funes de Firewall so agregadas prpria arquitetura do kernel. O Linux tem a capacidade de transformar o Firewall no prprio sistema.
Segurana de Rede
Firewall no Linux
No Linux, no preciso comprar um Firewall corporativo carssimo.
Firewall open source, gratuito.
Segurana de Rede
19
Firewall para Linux
Sinus Firewall

Universidade de Zurique. Um pouco diferente do Ipchains. Recurso de linguagem de programao prpria, sob forma de scripts. http://www.ifi.unizh.ch/ikm/SINUS/firewall.html
Segurana de Rede
20
Firewall para Linux, BSD, Solaris
Ipfilter
Firewall utilizado no OpenBSD, FreeBSD e Solaris. Linux RedHat 4.2 . Utilizado por muitos administradores por ser seguro e confivel. http://coombs.anu.edu.au/~avalon/ip-filter.html
Segurana de Rede
21
Firewall para Linux
Netfilter e IPTables
kernel 2.4.x filtragem de pacotes e NAT http://netfilter.filewatcher.org/ IPTables ferramenta de Front-End que permite configurar o Netfilter. IPTables compe a 4 gerao de Firewalls no Linux. Projeto IPTables/Netfilter GNU/Linux www.iptables.org www.netfilter.org
Segurana de Rede
Funes Netfilter / IPTables

Filtro de pacotes. Mascaramento. QoS sob trfego. Suporte a SNAT e DNAT para redirecionamento de endereos e portas.
Segurana de Rede
23
Mascaramento
Tcnica para colocar toda uma rede interna atrs de um Firewall, usando-se IPs invlidos (classe A, 10.0.0.0), no sentido de proteger servidores de invases. Quando tm-se pouqussimos IPs e tem-se que disponibilizar o acesso para muitos servidores. Habilita uma mquina Firewall a traduzir de um IP vlido para n IPs invlidos internos.
Segurana de Rede
24
IPTables e Netfilter

Deteco de fragmentos. Monitoramento de trfego. Regular a prioridade com TOS (Type of Service). Bloqueio a ataques Spoofing, Syn-Flood, DoS, scanners ocultos, pings da morte, ... Opo de utilizar mdulos externos para composio de regras.
Segurana de Rede
Sntese IPTables
Flag Tabela Comando Ao Alvo
Segurana de Rede
26
Sntese do IPTables
...>iptables [flag] [tabela] [comando] [ao] [alvo] [flag] : -t
[tabela] : filter (tabela padro, default) nat (-t nat) mangle (- mangle) Uma tabela uma rea na memria para armazenar as regras juntamente com os chains (parmetros das tabelas).
Segurana de Rede
27
Comandos no IPTables
[comando] : manipula a tabela atravs das regras e chains correspondentes.

-A anexa a regra ao fim da lista j existente. -D apaga a regra especificada. -L lista as regras existentes na lista. -P altera a poltica padro das chains. -F remove todas as regras, ou remove todas as regras referentes a um determinado chain. -I insere uma nova regra, mas no incio da lista de regras. -R substitui uma regra j adicionada por outra. -N permite inserir uma nova chain na tabela especificada. -E Renomeia uma nova chain criada. -X apaga uma chain criada pelo administrador do Firewall.
Segurana de Rede
Aes no IPTables
[ao] : especifica o protocolo, as interfaces de rede, endereo de origem do pacote (IP) e mscara de sub-rede, endereo de destino do pacote (IP), exceo a uma determinada regra, para onde um pacote pode ser direcionado (alvo), aplicar filtros com base na porta de origem, aplicar filtros com base na porta de destino.
Segurana de Rede
29
Alvos IPTables
[alvo] : quando um pacote se adequa a uma regra, ele deve ser direcionado a um alvo e quem especifica a prpria regra. Os alvos aplicveis so: ACCEPT DROP REJECT LOG RETURN QUEUE SNAT DNAT REDIRECT TOS
Segurana de Rede
Detalhes de NAT
SNAT DNAT Proxy Transparente
Segurana de Rede Prof. Joo Bosco M. Sobral 31
NAT

uma forma de mascaramento. Muito utilizado em roteadores. S que desempenha funo de encaminhamento de pacotes (forwarding). Tcnica til quando se deseja colocar um servidor Web ou servidor de email, atrs de um Firewall, usando-se IPs falsos, com intuito de escond-los contra invases.
Segurana de Rede
IPTables - Tabela NAT
Funes de um Firewall NAT
SNAT (Source Nat) (traduo de endereo IP de origem) DNAT (Destination NAT) (traduo de endereo IP de destino) Transparent Proxy
Segurana de Rede
33
SNAT
O Firewall altera o endereo IP ou porta de origem, antes dos pacotes serem enviados.
O Firewall pode enviar um pacote do host A ao host B e informar ao host B que tal pacote foi enviado pelo host C.
Segurana de Rede
34
SNAT
Qualquer regra aplicada a SNAT utiliza-se somente da chain POSTROUTING. Antes de iniciarmos a manipulao de qualquer regra da Tabela NAT, tem-se que habilitar a funo de re-direcionamento (forward) no kernel Linux:
>echo 1 > /proc/sys/net/ipv4/ip_forward
Segurana de Rede
35
Exemplo 1: SNAT
>iptables t nat A POSTROUTING s 10.0.3.1 o eth1 j SNAT to 192.111.22.33
Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain (POSTROUTING) (os pacotes devem ser modificados aps o tratamento de roteamento). Uma nova regra (-A) ao fim da lista.
Qualquer pacote que tenha como origem o host 10.0.3.1 (-s 10.0.3.1) e que deve sair pela interface eth1 (-o eth1) deve ter seu endereo de origem alterado (-j SNAT) para 192.111.22.33 (to 192.111.22.33).
Segurana de Rede
Exemplo 2: SNAT
>iptables t nat A POSTROUTING s 10.0.3.0/8 o eth0 j SNAT to 192.111.22.33 Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain (POSTROUTING) (os pacotes devem ser modificados aps o tratamento de roteamento). Uma nova regra (-A) ao fim da lista. Qualquer pacote que tenha como origem o host 10.0.3.0/8 (-s 10.0.3.1/8) e que deve sair pela interface eth0 (-o eth0) deve ter seu endereo de origem alterado (-j SNAT) para 192.111.22.33 (to 192.111.22.33).
Segurana de Rede
Exemplo 3: SNAT
>iptables t nat A POSTROUTING s 10.0.3.1 o eth0 j SNAT to 192.111.22.33-192.111.22.66
Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain (POSTROUTING) (os pacotes devem ser modificados aps o tratamento de roteamento). Uma nova regra (-A) ao fim da lista. Qualquer pacote que tenha como origem o host 10.0.3.1 (-s 10.0.3.1) e que deve sair pela interface eth0 (-o eth0) deve ter seu endereo de origem alterado (-j SNAT) para qualquer IP na faixa 192.111.22.33 192.111.22.66 (to 192.111.22.33192.111.22.66).
Segurana de Rede
DNAT
Altera o endereo IP ou porta de destino, dos pacotes que atravessam o Firewall, antes do pacote ser enviado ao seu destino final. Receber um pacote destinado porta 80 do host A e encaminh-lo porta 3128 do host B. Possibilita o desenvolvimento de:

Proxies transparentes, Balanceamento de carga.

Segurana de Rede
DNAT
Usar somente o chain PREROUTING. Antes de iniciarmos a manipulao de qualquer regra da Tabela NAT, tem-se que habilitar a funo de re-direcionamento (forward) no kernel Linux:
>echo 1 > /proc/sys/net/ipv4/ip_forward
Segurana de Rede
40
Exemplo 1: DNAT
>iptables t nat A PREROUTING s 10.0.3.1 i eth1 j DNAT to 192.111.22.33
Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain (PREROUTING) (os pacotes devem ser redirecionados logo que chegam). Uma nova regra (-A) ao fim da lista. Qualquer pacote que tenha como origem o host 10.0.3.1 (-s 10.0.3.1) e que entre pela interface eth1 (-i eth1) deve ter seu endereo de destino alterado (-j DNAT) para 192.111.22.33 (to 192.111.22.33)
Segurana de Rede
Exemplo 2: DNAT
>iptables t nat A PREROUTING i eth0 j DNAT to 192.11.22.10-192.11.22.13
Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain PREROUTING (os pacotes devem ser redirecionados logo que chegam). Uma nova regra (-A) ao fim da lista. E que qualquer pacote que entre na interface eth0 (-i eth0), independente de quem o enviou deve ser automaticamente redirecionado aos hosts 192.11.22.10, 192.11.22.11, 192.11.22.12, 192.11.22.13 (to 192.11.22.10-192.11.22.13).
Segurana de Rede
Exemplo 3: DNAT
>iptables t nat A PREROUTING i eth2 j DNAT to 192.11.22.58:22 Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain PREROUTING (os pacotes devem ser redirecionados logo que chegam). Uma nova regra (-A) ao fim da lista. E qualquer pacote que entre na interface eth2 (i eth2), independente de quem o enviou, deve ser automaticamente redirecionado ao host 192.11.22.58 ( to 192.11.22.58:22), e, independente da porta solicitada, dever ser enviado porta 22 (servio SSH).
Segurana de Rede
Proxy Transparente
Transparente: parece no existir, mas existe.
Redireciona portas em um mesmo host de destino. No confundir com DNAT, que altera o endereo de destino de pacotes de uma mquina A para uma mquina B, atravs do Firewall. Redireciona IPs.
Segurana de Rede
44
Exemplo: Proxy-Cache Squid
Squid tem por padro disponibilizar consultas Web atravs da porta 3128, enquanto que a maioria dos clientes Web costumam realizar solicitaes porta 80 (padro HTTP). Com Firewall IPTables + Squid numa mesma mquina Linux, o Proxy Transparente pode ser configurado.
Segurana de Rede
Firewall + Proxy
Segurana de Rede
46
Firewall como Proxy Transparente
>iptables t nat A PREROUTING i eth0 p tcp dport 80 j REDIRECT to-port 3128
Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain PREROUTING (os pacotes devem ser redirecionados logo que chegam). Uma nova regra (-A) ao fim da lista. E qualquer pacote que entre na interface eth0 (i eth0) e encaminhado porta 80 (dport 80) deve ser imediatamente redirecionado (j REDIRECT) porta 3128 deste mesmo host (to-port 3128).
Segurana de Rede
Detalhes de Mangle
Conceituando TOS
Segurana de Rede
48
Tabela Mangle
Utilizada para alteraes especiais como, modificar o tipo de servio (ToS) de um pacote IPv4.
Segurana de Rede
49
Estrutura de um pacote IPv4

Verso (4 bits) Tamanho do Cabealho (4bits) Tipo de Servio (1 byte) Tamanho Total (4 bytes) Identificao (4 bytes) Flags (3 bits) Deslocamento do Fragmento (13 bits) Tempo de Vida (1 byte) Protocolo TCP / UDP / ICMP (1 byte) Checksum do Cabealho (4 bytes) Endereo IP de Origem (4 bytes) Endereo IP de Destino (4 bytes) Opes + Padding (4 bytes opcional)
Dados TCP / UDP / ICMP (at 65.511 ou 65.515 bytes)
Segmentos: TCP ou UDP ou ICMP
Segurana de Rede
50
Conceito de TOS
Controle de trfego destinado a uma mquina ou rede, atravs do Tipo de Servio. Permite ento dizer a um Firewall que qualquer pacote cujo tipo de servio seja, por exemplo, SSH, deve possuir uma prioridade de trfego x, e que outros pacotes cujo tipo de servio seja, por exemplo, ICQ, deve possuir prioridade y.
Segurana de Rede
Conceito de TOS
uma forma de dar controle sobre o trfego de entrada e sada da rede interna. Ao invs de criar regras de bloqueio de trfego via filtragem de pacotes ou controle de palavras chaves via Proxy, o TOS propicia o controle do trfego, simplesmente, definindo prioridades para os servios.
Segurana de Rede
Nveis de Prioridade TOS
Segurana de Rede
53
Exemplo de regra de TOS
>iptables t mangle A OUTPUT o eth0 p tcp dport 22 j TOS set-tos 16 -t mangle : indica uso da tabela mangle. -A : inserir esta nova regra ao final da lista
Segurana de Rede
54
Mdulos Externos
Uma forma de ampliar a funcionalidade da ferramenta IPTables. Foge do convencional, aplicando regras que trabalhem sob anlise do corpo de um pacote. Um mdulo chamado, quando anunciado pela opo m <mdulo>.
Segurana de Rede
Mdulos IPTables
Segurana de Rede
56
Avaliando Firewalls
Segurana de Rede
57
Firewalls em Hardware
Netgear http://www.netgear.com TRENDware http://trendware.com D-Link http://www.dlink.com
Segurana de Rede
58
Firewalls em software para Windows
Zone Alarm http://www.zonelabs.com Tiny Personal Firewall http://www.tinysoftware.com Sygate Personal Firewall http://soho.sygate.com Personal Firewall http://www.mcafee.com
Segurana de Rede
Firewalls em software para Windows
Look n Stop http://www.looknstop.com Norton Internet Security http://www.symantec.com Outpost Firewall http://www.agnitum.com
Segurana de Rede
60
Firewalls em Software
Ferramenta de Firewall padro do sistema operacional. O kernel 2.4.x do LINUX traz uma inovao no que diz respeito ferramenta de firewall padro do sistema: os firewalls para LINUX.
O Windows XP tambm tem um firewall ?

Segurana de Rede
Firewalls em Software
Desenvolver um Firewall para LINUX: Falcon Firewall Project http://falcon.naw.de Estudando o cdigo-fonte deste firewall, pode-se obter o entendimento de como firewalls funcionam e modific-lo para proteger-se de ameaas mais recentes na Internet.
Segurana de Rede
62
Problemas com Firewalls
Os novatos no tm idia de como avali-los. Como leva tempo para configur-los, a maioria dos usurios iniciantes provavelmente iro configur-lo de forma errada, dando um falso senso de segurana.
Segurana de Rede
63
S se consegue proteger conexes chegando e saindo do computador via Internet. Nada pode ser feito para impedir o acesso por uma linha telefnica, atravs de um dispositivo de acesso sem fio, ou atravs do teclado se algum estiver fisicamente usando o computador.
Segurana de Rede
64
Firewalls podem ser enganados.
Por exemplo, um hacker poderia renomear um Cavalo de Tria de acesso remoto, que acesse a Internet, de forma que ele tenha o mesmo nome que um programa na lista dos programas permitidos, como por exemplo, um navegador Web.
Segurana de Rede
65
Podem ser contornados com uma tcnica chamada tnel de firewall, que simplesmente usa quaisquer portas e protocolos permitidos pelo firewall.
Segurana de Rede
66
Dois produtos que permitem tnel de firewall: RemFTP http://www.remftp.com HTTP-Tunnel http://www.http-tunnel.com
Segurana de Rede
67
Avaliando Firewalls
Aprender sobre detalhes, escolher o melhor, fazendo comparaes tcnicas: Home PC Firewall Guide http://www.firewallguide.com Firewall.com http://firewall.com
Segurana de Rede
68
Avaliando Firewalls
Firewall.net http://www.firewall-net.com Free-Firewall.org http://www.free-firewall.org
Segurana de Rede
69
Testar a capacidade de Firewalls
LeakTest http://grc.com/lt/leaktest.htm FireHole http://keir.net/firehole.html OutBound http://www.hackbusters.net/ob.html PC Flank http://www.pcflank.com

Segurana de Rede
Testar a capacidade de Firewalls

Port Detective http://www.portdetective.com YALTA http://www.soft4ever.com/security_test/En/index.htm TooLeaky http://tooleaky.zensoft.com Um programa de teste pode dizer se o firewall est protegendo o seu computador.
Segurana de Rede
71
Avaliando Firewalls
Enquanto, no experimentar vrios firewalls diferentes, voc nunca poder saber quo indefeso, determinado firewall acabar sendo.
Segurana de Rede
72
Avaliando Firewalls
Porque, um firewall pode no ter certas funes imprescindveis, que outro talvez oferea.
Segurana de Rede
73

Pens An Do Firewalls

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Pens An Do Firewalls

Uploaded by

Copyright:

Available Formats

Firewalls

A Primeira Linha de Defesa

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Por que Firewall ?

Prof. Joo Bosco M. Sobral

Por que Firewall ?

De que forma um software denominado Firewall consegue mudar este paradigma ?

Por que Firewall ?

Por que Firewall ?

Por que Firewall ?

Por que Firewall ?

senhas mal escolhidas. usurios descontentes.

Por que Firewall ?

As ameaas passam a vir de todos os lados: Internet e rede interna (corporativa).

Prof. Joo Bosco M. Sobral

Conceito de Firewall destinados rede

Prof. Joo Bosco M. Sobral

Conceito de Firewall destinados uma Mquina

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Um Firewall pode controlar os pacotes de servios no confiveis:

rlogin, telnet, FTP, NFS, DNS, LDAP, SMTP, RCP, X-Window.

Por que Firewall ?

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Prof. Joo Bosco M. Sobral

Nada evitar que ameaas, ataques e invases continuem a existir.

Prof. Joo Bosco M. Sobral

No Linux, no preciso comprar um Firewall corporativo carssimo.

Firewall open source, gratuito.

Prof. Joo Bosco M. Sobral

Firewall para Linux

Prof. Joo Bosco M. Sobral

Firewall para Linux, BSD, Solaris

Prof. Joo Bosco M. Sobral

Firewall para Linux

Funes Netfilter / IPTables

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

...>iptables [flag] [tabela] [comando] [ao] [alvo] [flag] : -t

Prof. Joo Bosco M. Sobral

[comando] : manipula a tabela atravs das regras e chains correspondentes.

Prof. Joo Bosco M. Sobral

IPTables - Tabela NAT

Funes de um Firewall NAT

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

>iptables t nat A POSTROUTING s 10.0.3.1 o eth1 j SNAT to 192.111.22.33

>iptables t nat A POSTROUTING s 10.0.3.1 o eth0 j SNAT to 192.111.22.33-192.111.22.66

Proxies transparentes, Balanceamento de carga.

Prof. Joo Bosco M. Sobral

>iptables t nat A PREROUTING s 10.0.3.1 i eth1 j DNAT to 192.111.22.33

>iptables t nat A PREROUTING i eth0 j DNAT to 192.11.22.10-192.11.22.13

Transparente: parece no existir, mas existe.

Prof. Joo Bosco M. Sobral

Exemplo: Proxy-Cache Squid

Prof. Joo Bosco M. Sobral

Firewall como Proxy Transparente