Professional Documents
Culture Documents
Segurana de Rede
Hoje, o mundo respira Internet. A Internet que o mundo respira no segura. Security Module (2003):
Pesquisa Nacional de Segurana da Informao. 60% : Internet o principal ponto de invaso. 78% : ameaas, riscos e ataques tendem a aumentar em 2004. 32% : crackers so os principais invasores. 26% : no conseguem identificar os responsveis. Nmero de empresas com ataques e invases: 43% (2002) e 77% (2003).
Prof. Joo Bosco M. Sobral 2
Segurana de Rede
Internet Uma imensa rede descentralizada e no gerenciada, rodando sob uma sute de protocolos denominada IPv4, que no foi projetada para assegurar a integridade das informaes e realizar controles de acesso.
Segurana de Rede
Existem diversas formas de se violar uma rede, mas essas formas nada mais fazem do que se aproveitar de falhas em servios de rede e protocolos.
Prof. Joo Bosco M. Sobral 4
Segurana de Rede
Mas o que um Firewall poder fazer por tais servios e protocolos ? Neste sentido, pouco ser a utilidade de um Firewall. Um Firewall no pode corrigir erros em servios e protocolos. Mas, se disponibilizarmos todos os servios que precisamos e limitarmos seu uso apenas a redes autorizadas ou a certos hosts confiveis ?
Prof. Joo Bosco M. Sobral 5
Segurana de Rede
Quem far essa separao ? Quem bloquear conexes desconhecidas e no autorizadas em minha rede ? Esta uma das utilidades de um Firewall. Sem um Firewall, cada host na rede interna, seria responsvel por sua prpria segurana. Sendo o nico computador diretamente conectado Internet, poder de forma segura levar servios de inter-conectividade rede interna.
Prof. Joo Bosco M. Sobral 6
Segurana de Rede
Um Firewall no possui a funo de vasculhar pacotes a procura de assinaturas de vrus. Um Firewall poder evitar que a rede interna seja monitorada por Trojans e que os mesmos troquem informaes com outros hosts na Internet. Poder evitar que a rede interna seja vasculhada por um scanner de portas.
Prof. Joo Bosco M. Sobral 7
Segurana de Rede
Poder bloquear qualquer tentativa de conexo vinda da Internet para um host na rede interna. Mas, as ameaas esto to somente na Internet ?
FBI : 90% das invases bem sucedidas a servidores corporativos, os usurios da rede (autorizados) tiveram algum nvel de parcela de culpa.
Segurana de Rede
Um firewall poder bloquear tanto o acesso externo, como acesso interno, liberando apenas para algumas mquinas.
Segurana de Rede
Mecanismo de segurana interposto entre a rede interna (corporativa) e a rede externa (Internet), com a finalidade de liberar ou bloquear o acesso de computadores remotos na Internet, aos servios que so oferecidos dentro de uma rede corporativa.
Segurana de Rede
10
Tambm, temos os Firewalls Home, destinados a uma mquina ou uma estao de trabalho (workstation). Exemplo: ZoneAlarm para Windows.
Segurana de Rede
11
Firewalls
Sendo um firewall o ponto de conexo com a Internet, tudo o que chega rede interna deve passar pelo firewall. responsvel pela aplicao de regras de segurana. E em alguns casos pela autenticao de usurios, por logar trfego para auditoria. mecanismo obrigatrio num projeto de segurana.
Prof. Joo Bosco M. Sobral 12
Segurana de Rede
Um Firewall poder especificar que tipos de protocolos e servios de rede sero disponibilizados, tanto externa quanto internamente.
Segurana de Rede
13
Segurana de Rede
Pode realizar compartilhamento de acesso Internet a toda a rede interna sem permitir a comunicao direta entre as mesmas. Bloquear acesso indevido a sites e hosts no-autorizados.
Segurana de Rede
15
Porque as empresas devem se conectar Internet com algum nvel de preparo especfico para este fim.
Segurana de Rede
16
Lembrando ...
O que definir se sero bem sucedidas ou no ser o conhecimento embutido em seu Firewall e demais ferramentas de segurana.
Segurana de Rede
17
Kernel e Firewall
Tudo o que chega ou sai de um computador processado pelo kernel do sistema operacional desse computador. No Linux, as funes de Firewall so agregadas prpria arquitetura do kernel. O Linux tem a capacidade de transformar o Firewall no prprio sistema.
Prof. Joo Bosco M. Sobral 18
Segurana de Rede
Firewall no Linux
Segurana de Rede
19
Sinus Firewall
Universidade de Zurique. Um pouco diferente do Ipchains. Recurso de linguagem de programao prpria, sob forma de scripts. http://www.ifi.unizh.ch/ikm/SINUS/firewall.html
Segurana de Rede
20
Ipfilter
Firewall utilizado no OpenBSD, FreeBSD e Solaris. Linux RedHat 4.2 . Utilizado por muitos administradores por ser seguro e confivel. http://coombs.anu.edu.au/~avalon/ip-filter.html
Segurana de Rede
21
Netfilter e IPTables
kernel 2.4.x filtragem de pacotes e NAT http://netfilter.filewatcher.org/ IPTables ferramenta de Front-End que permite configurar o Netfilter. IPTables compe a 4 gerao de Firewalls no Linux. Projeto IPTables/Netfilter GNU/Linux www.iptables.org www.netfilter.org
Prof. Joo Bosco M. Sobral 22
Segurana de Rede
Filtro de pacotes. Mascaramento. QoS sob trfego. Suporte a SNAT e DNAT para redirecionamento de endereos e portas.
Segurana de Rede
23
Mascaramento
Tcnica para colocar toda uma rede interna atrs de um Firewall, usando-se IPs invlidos (classe A, 10.0.0.0), no sentido de proteger servidores de invases. Quando tm-se pouqussimos IPs e tem-se que disponibilizar o acesso para muitos servidores. Habilita uma mquina Firewall a traduzir de um IP vlido para n IPs invlidos internos.
Segurana de Rede
24
IPTables e Netfilter
Deteco de fragmentos. Monitoramento de trfego. Regular a prioridade com TOS (Type of Service). Bloqueio a ataques Spoofing, Syn-Flood, DoS, scanners ocultos, pings da morte, ... Opo de utilizar mdulos externos para composio de regras.
Prof. Joo Bosco M. Sobral 25
Segurana de Rede
Sntese IPTables
Flag Tabela Comando Ao Alvo
Segurana de Rede
26
Sntese do IPTables
[tabela] : filter (tabela padro, default) nat (-t nat) mangle (- mangle) Uma tabela uma rea na memria para armazenar as regras juntamente com os chains (parmetros das tabelas).
Segurana de Rede
27
Comandos no IPTables
-A anexa a regra ao fim da lista j existente. -D apaga a regra especificada. -L lista as regras existentes na lista. -P altera a poltica padro das chains. -F remove todas as regras, ou remove todas as regras referentes a um determinado chain. -I insere uma nova regra, mas no incio da lista de regras. -R substitui uma regra j adicionada por outra. -N permite inserir uma nova chain na tabela especificada. -E Renomeia uma nova chain criada. -X apaga uma chain criada pelo administrador do Firewall.
Prof. Joo Bosco M. Sobral 28
Segurana de Rede
Aes no IPTables
[ao] : especifica o protocolo, as interfaces de rede, endereo de origem do pacote (IP) e mscara de sub-rede, endereo de destino do pacote (IP), exceo a uma determinada regra, para onde um pacote pode ser direcionado (alvo), aplicar filtros com base na porta de origem, aplicar filtros com base na porta de destino.
Segurana de Rede
29
Alvos IPTables
[alvo] : quando um pacote se adequa a uma regra, ele deve ser direcionado a um alvo e quem especifica a prpria regra. Os alvos aplicveis so: ACCEPT DROP REJECT LOG RETURN QUEUE SNAT DNAT REDIRECT TOS
Prof. Joo Bosco M. Sobral 30
Segurana de Rede
Detalhes de NAT
SNAT DNAT Proxy Transparente
Segurana de Rede Prof. Joo Bosco M. Sobral 31
NAT
uma forma de mascaramento. Muito utilizado em roteadores. S que desempenha funo de encaminhamento de pacotes (forwarding). Tcnica til quando se deseja colocar um servidor Web ou servidor de email, atrs de um Firewall, usando-se IPs falsos, com intuito de escond-los contra invases.
Prof. Joo Bosco M. Sobral 32
Segurana de Rede
SNAT (Source Nat) (traduo de endereo IP de origem) DNAT (Destination NAT) (traduo de endereo IP de destino) Transparent Proxy
Segurana de Rede
33
SNAT
O Firewall altera o endereo IP ou porta de origem, antes dos pacotes serem enviados.
O Firewall pode enviar um pacote do host A ao host B e informar ao host B que tal pacote foi enviado pelo host C.
Segurana de Rede
34
SNAT
Qualquer regra aplicada a SNAT utiliza-se somente da chain POSTROUTING. Antes de iniciarmos a manipulao de qualquer regra da Tabela NAT, tem-se que habilitar a funo de re-direcionamento (forward) no kernel Linux:
>echo 1 > /proc/sys/net/ipv4/ip_forward
Segurana de Rede
35
Exemplo 1: SNAT
Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain (POSTROUTING) (os pacotes devem ser modificados aps o tratamento de roteamento). Uma nova regra (-A) ao fim da lista.
Qualquer pacote que tenha como origem o host 10.0.3.1 (-s 10.0.3.1) e que deve sair pela interface eth1 (-o eth1) deve ter seu endereo de origem alterado (-j SNAT) para 192.111.22.33 (to 192.111.22.33).
Prof. Joo Bosco M. Sobral 36
Segurana de Rede
Exemplo 2: SNAT
>iptables t nat A POSTROUTING s 10.0.3.0/8 o eth0 j SNAT to 192.111.22.33 Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain (POSTROUTING) (os pacotes devem ser modificados aps o tratamento de roteamento). Uma nova regra (-A) ao fim da lista. Qualquer pacote que tenha como origem o host 10.0.3.0/8 (-s 10.0.3.1/8) e que deve sair pela interface eth0 (-o eth0) deve ter seu endereo de origem alterado (-j SNAT) para 192.111.22.33 (to 192.111.22.33).
Prof. Joo Bosco M. Sobral 37
Segurana de Rede
Exemplo 3: SNAT
Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain (POSTROUTING) (os pacotes devem ser modificados aps o tratamento de roteamento). Uma nova regra (-A) ao fim da lista. Qualquer pacote que tenha como origem o host 10.0.3.1 (-s 10.0.3.1) e que deve sair pela interface eth0 (-o eth0) deve ter seu endereo de origem alterado (-j SNAT) para qualquer IP na faixa 192.111.22.33 192.111.22.66 (to 192.111.22.33192.111.22.66).
Prof. Joo Bosco M. Sobral 38
Segurana de Rede
DNAT
Altera o endereo IP ou porta de destino, dos pacotes que atravessam o Firewall, antes do pacote ser enviado ao seu destino final. Receber um pacote destinado porta 80 do host A e encaminh-lo porta 3128 do host B. Possibilita o desenvolvimento de:
Segurana de Rede
DNAT
Usar somente o chain PREROUTING. Antes de iniciarmos a manipulao de qualquer regra da Tabela NAT, tem-se que habilitar a funo de re-direcionamento (forward) no kernel Linux:
>echo 1 > /proc/sys/net/ipv4/ip_forward
Segurana de Rede
40
Exemplo 1: DNAT
Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain (PREROUTING) (os pacotes devem ser redirecionados logo que chegam). Uma nova regra (-A) ao fim da lista. Qualquer pacote que tenha como origem o host 10.0.3.1 (-s 10.0.3.1) e que entre pela interface eth1 (-i eth1) deve ter seu endereo de destino alterado (-j DNAT) para 192.111.22.33 (to 192.111.22.33)
Prof. Joo Bosco M. Sobral 41
Segurana de Rede
Exemplo 2: DNAT
Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain PREROUTING (os pacotes devem ser redirecionados logo que chegam). Uma nova regra (-A) ao fim da lista. E que qualquer pacote que entre na interface eth0 (-i eth0), independente de quem o enviou deve ser automaticamente redirecionado aos hosts 192.11.22.10, 192.11.22.11, 192.11.22.12, 192.11.22.13 (to 192.11.22.10-192.11.22.13).
Prof. Joo Bosco M. Sobral 42
Segurana de Rede
Exemplo 3: DNAT
>iptables t nat A PREROUTING i eth2 j DNAT to 192.11.22.58:22 Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain PREROUTING (os pacotes devem ser redirecionados logo que chegam). Uma nova regra (-A) ao fim da lista. E qualquer pacote que entre na interface eth2 (i eth2), independente de quem o enviou, deve ser automaticamente redirecionado ao host 192.11.22.58 ( to 192.11.22.58:22), e, independente da porta solicitada, dever ser enviado porta 22 (servio SSH).
Prof. Joo Bosco M. Sobral 43
Segurana de Rede
Proxy Transparente
Redireciona portas em um mesmo host de destino. No confundir com DNAT, que altera o endereo de destino de pacotes de uma mquina A para uma mquina B, atravs do Firewall. Redireciona IPs.
Segurana de Rede
44
Squid tem por padro disponibilizar consultas Web atravs da porta 3128, enquanto que a maioria dos clientes Web costumam realizar solicitaes porta 80 (padro HTTP). Com Firewall IPTables + Squid numa mesma mquina Linux, o Proxy Transparente pode ser configurado.
Prof. Joo Bosco M. Sobral 45
Segurana de Rede
Firewall + Proxy
Segurana de Rede
46
Com IPTables informamos ao Netfilter que atribua tabela NAT (-t nat) sob o chain PREROUTING (os pacotes devem ser redirecionados logo que chegam). Uma nova regra (-A) ao fim da lista. E qualquer pacote que entre na interface eth0 (i eth0) e encaminhado porta 80 (dport 80) deve ser imediatamente redirecionado (j REDIRECT) porta 3128 deste mesmo host (to-port 3128).
Prof. Joo Bosco M. Sobral 47
Segurana de Rede
Detalhes de Mangle
Conceituando TOS
Segurana de Rede
48
Tabela Mangle
Utilizada para alteraes especiais como, modificar o tipo de servio (ToS) de um pacote IPv4.
Segurana de Rede
49
Segurana de Rede
50
Conceito de TOS
Controle de trfego destinado a uma mquina ou rede, atravs do Tipo de Servio. Permite ento dizer a um Firewall que qualquer pacote cujo tipo de servio seja, por exemplo, SSH, deve possuir uma prioridade de trfego x, e que outros pacotes cujo tipo de servio seja, por exemplo, ICQ, deve possuir prioridade y.
Prof. Joo Bosco M. Sobral 51
Segurana de Rede
Conceito de TOS
uma forma de dar controle sobre o trfego de entrada e sada da rede interna. Ao invs de criar regras de bloqueio de trfego via filtragem de pacotes ou controle de palavras chaves via Proxy, o TOS propicia o controle do trfego, simplesmente, definindo prioridades para os servios.
Prof. Joo Bosco M. Sobral 52
Segurana de Rede
Segurana de Rede
53
>iptables t mangle A OUTPUT o eth0 p tcp dport 22 j TOS set-tos 16 -t mangle : indica uso da tabela mangle. -A : inserir esta nova regra ao final da lista
Segurana de Rede
54
Mdulos Externos
Uma forma de ampliar a funcionalidade da ferramenta IPTables. Foge do convencional, aplicando regras que trabalhem sob anlise do corpo de um pacote. Um mdulo chamado, quando anunciado pela opo m <mdulo>.
Prof. Joo Bosco M. Sobral 55
Segurana de Rede
Mdulos IPTables
Segurana de Rede
56
Avaliando Firewalls
Segurana de Rede
57
Firewalls em Hardware
Segurana de Rede
58
Zone Alarm http://www.zonelabs.com Tiny Personal Firewall http://www.tinysoftware.com Sygate Personal Firewall http://soho.sygate.com Personal Firewall http://www.mcafee.com
Prof. Joo Bosco M. Sobral 59
Segurana de Rede
Look n Stop http://www.looknstop.com Norton Internet Security http://www.symantec.com Outpost Firewall http://www.agnitum.com
Segurana de Rede
60
Firewalls em Software
Ferramenta de Firewall padro do sistema operacional. O kernel 2.4.x do LINUX traz uma inovao no que diz respeito ferramenta de firewall padro do sistema: os firewalls para LINUX.
Segurana de Rede
Firewalls em Software
Desenvolver um Firewall para LINUX: Falcon Firewall Project http://falcon.naw.de Estudando o cdigo-fonte deste firewall, pode-se obter o entendimento de como firewalls funcionam e modific-lo para proteger-se de ameaas mais recentes na Internet.
Segurana de Rede
62
Os novatos no tm idia de como avali-los. Como leva tempo para configur-los, a maioria dos usurios iniciantes provavelmente iro configur-lo de forma errada, dando um falso senso de segurana.
Segurana de Rede
63
S se consegue proteger conexes chegando e saindo do computador via Internet. Nada pode ser feito para impedir o acesso por uma linha telefnica, atravs de um dispositivo de acesso sem fio, ou atravs do teclado se algum estiver fisicamente usando o computador.
Segurana de Rede
64
Por exemplo, um hacker poderia renomear um Cavalo de Tria de acesso remoto, que acesse a Internet, de forma que ele tenha o mesmo nome que um programa na lista dos programas permitidos, como por exemplo, um navegador Web.
Segurana de Rede
65
Podem ser contornados com uma tcnica chamada tnel de firewall, que simplesmente usa quaisquer portas e protocolos permitidos pelo firewall.
Segurana de Rede
66
Dois produtos que permitem tnel de firewall: RemFTP http://www.remftp.com HTTP-Tunnel http://www.http-tunnel.com
Segurana de Rede
67
Avaliando Firewalls
Aprender sobre detalhes, escolher o melhor, fazendo comparaes tcnicas: Home PC Firewall Guide http://www.firewallguide.com Firewall.com http://firewall.com
Segurana de Rede
68
Avaliando Firewalls
Firewall.net http://www.firewall-net.com Free-Firewall.org http://www.free-firewall.org
Segurana de Rede
69
Segurana de Rede
Port Detective http://www.portdetective.com YALTA http://www.soft4ever.com/security_test/En/index.htm TooLeaky http://tooleaky.zensoft.com Um programa de teste pode dizer se o firewall est protegendo o seu computador.
Segurana de Rede
71
Avaliando Firewalls
Enquanto, no experimentar vrios firewalls diferentes, voc nunca poder saber quo indefeso, determinado firewall acabar sendo.
Segurana de Rede
72
Avaliando Firewalls
Porque, um firewall pode no ter certas funes imprescindveis, que outro talvez oferea.
Segurana de Rede
73