O documento descreve os principais conceitos sobre firewalls, incluindo: (1) firewalls filtram pacotes de acordo com regras baseadas nos cabeçalhos dos pacotes; (2) firewalls stateful também verificam o estado das conexões armazenadas em tabelas; (3) existem diferentes arquiteturas de firewalls como dual-homed host, DMZ e bastion host para melhor proteger redes.
2. FIREWALL (filtro de pacotes)
• Camadas de rede e de transporte da pilha
TCP/IP
3. FIREWALL (filtro de pacotes)
• Filtro de pacotes são regras que avaliam as
informações no cabeçalho de um pacote toda vez
que um chega ao firewall, para então ser
decidido se é permitido ou não a sua passagem.
4. FIREWALL (filtro de pacotes)
• Decisões baseadas no cabeçalho dos pacotes:
▫ Endereço de origem
É o endereço de IP que o pacote lista como seu
emissor. Esse campo não é necessariamente o IP
original do emissor. Esse Ip pode ser modificado por
legalmente por NAT ou algum hacker pode ter
mudado o campo, isso é chamado de IP spoofing.
5. FIREWALL (filtro de pacotes)
• Decisões baseadas no cabeçalho dos pacotes:
▫ Endereço de destino
É o endereço de IP para onde o pacote está sendo
mandado. Tem-se que ter certeza que foi listado o IP
real nas regras de filtragem e não o nome do DNS
( Domain Name System), tais como
server3.jabbajoe.com.
6. FIREWALL (filtro de pacotes)
• Decisões baseadas no cabeçalho dos pacotes:
▫ Porta de origem/Porta de destino
O numero da porta indica que tipo de serviço o
pacote é destinado. Alguns tipos de ICMP são
mensagens muito úteis, porém outros são muito
perigosas e não pode ser permitido a sua passagem
pelo firewall.
7. FIREWALL (filtro de pacotes)
• Verificação do sentido
do pacote – rede
interna ou externa –
tem relação direta com
a detecção de ataques
de IP Spoofing.
8. FIREWALL
• IP spoofing é um
ataque que
consiste em
mascarar (spoof)
pacotes IP
utilizando
endereços de
remetentes
falsificados.
9. IP spoofing
• Devido às características do protocolo IP, o
reencaminhamento de pacotes é feito com base
numa premissa muito simples: o pacote deverá
ir para o destinatário (endereço-destino) e não
há verificação do remetente — não há validação
do endereço IP nem relação deste com o router
anterior (que encaminhou o pacote).
10. IP spoofing
• Assim, torna-se trivial falsificar o endereço de
origem através de uma manipulação simples do
cabeçalho IP. Assim,vários computadores podem
enviar pacotes fazendo-se passar por um
determinado endereço de origem, o que
representa uma séria ameaça para os sistemas
baseados em autenticação pelo endereço IP.
11. FIREWALL
• Desvantagens:
▫ Difícil de gerenciar em ambientes complexos
▫ Dificuldade de filtrar serviços que utilizam portas
dinâmicas ou mais de um canal de comunicação,
como FTP e RPC
13. FIREWALL
• Vantagens:
▫ Alto desempenho
▫ Barato, simples e flexível
▫ Transparente para o usuário
14. Firewall (Filtro de pacotes
baseados em estados)
• Também conhecidos como Firewalls dinâmicos
ou Stateful Packet Filter
• Trabalha na camada de rede e transporte
• Toma decisões de filtragem com base em:
▫ Informações dos cabeçalhos dos pacotes
▫ Uma tabela de estados, que guarda o estados de
todas as conexões
▫ Verifica o primeiro pacote de cada conexão – os
demais passam pela sessão estabelecida, o que
resulta em um melhor desempenho
15. Firewall (Filtro de pacotes
baseados em estados)
• Caso da “brecha” deixada pelo filtro de pacotes
simples
O retorno é permitido com a verificação dos pacotes de acordo com a
tabela de estados do Firewall.
16. Firewall (Filtro de pacotes
baseados em estados)
• Timeout de conexões x
Ataques de SYN flooding
▫ Adaptação do timeout para
evitar ataques de negação
de serviço (encher a tabela
de estados)
17. Firewall (Filtro de pacotes
baseados em estados)
• Vantagens
▫ Aberturas apenas temporárias do perímetro da
rede (conexões de retorno)
▫ Alto desempenho
18. Firewall (Filtro de pacotes
baseados em estados)
• Desvantagens
▫ Maior consumo de recursos de memória da
máquina do Firewall (tabela de estados)
▫ Problemas de limitação/adequação do tamanho
da tabela de estados para redes com grande
quantidade de conexões
19. Arquitetura de um Firewall
• Dual-homed host
• Zona Desmilitarizada
(DMZ)
• Bastion Host
• Bastion Host + DMZ
20. Arquitetura de um Firewall
• Dual-homed host
▫ É um host que tem, no
mínimo,duas
interfaces de rede.
Cada uma se comunica
com a rede
correspondente na
qual está conectada
(no caso, a Internet e a
rede interna).
21. Dual-homed host
• Um computador que fica entre duas redes pode
ser um dual-homed gateway, já que este pode
atuar como um roteador entre as redes. Mas no
caso de um firewall deste caso, esta função de
roteamento é desabilitada.
22. Dual-homed host
• Desta forma, os pacotes IP vindos da Internet
não são repassados diretamente para a rede
interna. Sistemas dentro do firewall podem se
comunicar com o dual-homed host, e sistemas
fora do firewall podem somente se comunicar
com o dual-homed host. Serviços para os
usuários são providos de duas formas: através
deproxy servers ou habilitando o logon no dual-
homed host.
23. Zona Desmilitarizada (DMZ)
• Também conhecida
como Rede de
Perímetro, a DMZ é
uma pequena rede
situada entre uma rede
confiável e uma não
confiável, geralmente
entre a rede local e a
Internet.
24. Zona Desmilitarizada (DMZ)
• A função de uma DMZ é manter todos os
serviços que possuem acesso externo (tais como
servidores HTTP, FTP, de correio eletrônico, etc)
separados da rede local, limitando assim o
potencial dano em caso de comprometimento de
algum destes serviços por um invasor. Para
atingir este objetivo os computadores presentes
em uma DMZ não devem conter nenhuma forma
de acesso à rede local.
25. Bastion Host + DMZ
• Bastion host é qualquer máquina configurada
para desempenhar algum papel crítico na
segurança da rede interna e provendo os serviços
permitidos segundo a política de segurança da
empresa. Trata-se de uma máquina segura que
está localizada no lado público da rede de
perímetro (acessível publicamente), mas que não
se encontra protegida por um firewall ou um
roteador de filtragem, expondo-se totalmente a
ataques.
26. Bastion Host
• Um bastion host deve ter uma estrutura simples, de
forma que seja fácil de garantir a segurança. São
normalmente usados como servidores Web, servidores
DNS, servidores FTP e servidores SMTP.
• Como é mais fácil proteger um único serviço em um
único bastion host, o ideal é que eles sejam dedicados a
executar apenas uma das funções citadas, pois quanto
mais funções cada um desempenha, maior a
probabilidade de uma brecha de segurança passar
despercebida.
27. Bastion Host + DMZ
• Criação de uma zona desmilitarizada que hospeda
o Bastion host
• Maior segurança no caso do comprometimento
do Bastion Host
28. Avaliação de um Firewall
• Fabricante / Fornecedor
• Suporte técnico
• Tempo para entrar em funcionamento
• Logs (auditoria)
• Gerenciamento - facilidade de manutenção
• Desempenho
• Capacitação do pessoal
29. Teste Firewall
• Tentar passar pelo Firewall para validar o
conjunto de regras
• Validação da Política de Segurança
• Identificação de erros comuns
• Devem ser realizados com uma determinada
frequência
• Quem deve fazer o teste?
▫ Própria empresa, hackers, fornecedores, empresas
especializadas – cuidado com a questão da ética!
30. Problemas relacionados
• Firewalls mal configurados
• Implementação incorreta da política de
segurança
• Gerenciamento falho – controle de mudanças
▫ Usuários requisitando novos serviços (precisam
ou querem?)
▫ Ignorar arquivos de logs
▫ Drible da segurança (conexões extras, etc)
• Falta de atualizações
31. Exercicio
• Qual a importância da segmentação entre as
redes de servidores públicos e a rede local?
• Qual o papel do Firewall como parte da
infraestrutura de segurança?
• Cite exemplos onde a segmentação de rede deve
ser aplicada para uma maior proteção dos
ambientes corporativos.
• Qual a importância do controle de mudanças no
gerenciamento de sistemas de Firewall?