DIEGO THADEU JUVENATO LEONARDO TAVARES VIEIRA SEGURANÇA EM REDES: ESTUDO COMPARATIVO ENTRE FERRAMENTAS FIREWALL

Transcrição

1 INSTITUTO FEDERAL DO ESPÍRITO SANTO C. S. DE TECNOLOGIA EM REDES DE COMPUTADORES DIEGO THADEU JUVENATO LEONARDO TAVARES VIEIRA SEGURANÇA EM REDES: ESTUDO COMPARATIVO ENTRE FERRAMENTAS FIREWALL SERRA

2 DIEGO THADEU JUVENATO LEONARDO TAVARES VIEIRA SEGURANÇA EM REDES: ESTUDO COMPARATIVO ENTRE FERRAMENTAS FIREWALL Trabalho de Conclusão de Curso apresentado à Coordenadoria de Cursos Superiores em Informática do Instituto Federal do Espírito Santo, como requisito parcial para a obtenção do título de Tecnólogo em Redes de Computadores. Orientador: Prof. Gilberto Neves Sudré Filho SERRA

3 SUMÁRIO 1. INTRODUÇÃO OBJETIVO Objetivo geral Objetivos específicos METODOLOGIA JUSTIFICATIVA REFERENCIAL TEÓRICO Redes de Computadores Segurança de Rede Protocolo TCP/IP Gateway Firewall Tipos de firewall Filtragem de pacote Gateways de aplicação Software livre x software proprietário ENDIAN FIREWALL E ISA SERVER Endian Firewall Requisitos de Hardware Instalação Configuração Gerenciamento Integração com ferramentas externas ISA Server Requisitos de Hardware Instalação Configuração Administração Atualização Suporte Facilidade de alterar regra Backup e restauração Integração com ferramentas externas COMPARAÇÃO Montagem do laboratório Funções do firewall Bloqueio de site Publicação de site Sites Permitidos (Lista Branca)... 3

4 Publicação de serviço Proxy reverso Liberar Portas VPN Load Balance Failover CONCLUSÃO REFERÊNCIAS... 4

5 LISTA DE FIGURAS Figura 1 As camadas do protocolo TCP/IP (TANENBAUM, 2003)... Figura 2 Esquema de funcionamento básico do firewall (TANENBAUM, 1997)... Figura 3 Filtragem de pacote (GALLO e HANCOCK, 2003)... Figura 4 Firewall Gateway (TANEMBAUM, 1997)... Figura 5 Tela de boas vindas do Endian Firewall... Figura 6 Iniciando a instalação do Endian Firewall... Figura 7 Configurando endereço IP... Figura 8 Tela de boas vindas ao Endian Firewall... Figura 9 Tipos de Zonas de acordo com hardware detectado pelo Endian Firewall... Figura 10 Tela inicial do Endian Firewall após ter efetuado todas as configurações... Figura 11 Serviços oferecidos pelo pacote Endian Firewall e seus status... Figura 12 Demonstração de gráficos de utilização do Sistema... Figura 13 Aba REDE... Figura 14 Página Rede Interna do ISA Server... Figura 15 Diretivas de Firewall... Figura 16 Como funciona um firewall de Borda... Figura 17 Regras de Firewall do ISA Server... Figura 18 Hyper-V... Figura 19 Página de bloqueio de site no Isa Server Figura 20 Bloqueio de sites no Endian Firewall... Figura 21 Publicação de site utilizando o ISA Server... Figura 22 Lista Branca no Endian Firewall... Figura 23 Publicação de serviços no ISA Server... Figura 24 Propriedade portas no ISA Server Figura 25 Aba VPN Client no ISA Server Figura 26 Página do ISA Server 2006 para a configuração de redundância... 5

6 LISTA DE TABELAS Tabela 1 Comparação ISA SERVER 2006 Enterpriser e Standard... Tabela 2 Largura de banda... 6

7 LISTA DE SIGLAS AD CD CIDR CPU DHCP DMZ FTP GB HTTPS IP LANs MB MSDE NAT NTFS OWA PCs POP3 PwC RAM RDP SMTP SQL SSH TCP UDP URL VLANs VPN XML Active Directory Diretório ativo Compact Disc Disco compacto. Classless Inter-Domain Routing - Agrupamento de Classes C contíguas Central Processing Unit Unidade central de processamento. Dynamic Host Configuration Protocol - Protocolo de configuração dinâmica de host DeMilitarized Zone - Zona Desmilitarizada. File Transfer Protocol - Protocolo de Transferência de Arquivos. Gigabyte Unidade de Medida. HyperText Transfer Protocol Secure - Protocolo de transferência de hipertexto seguro. Internet Protocol Protocolo de internet. Local area network Rede de área local Megabyte Unidade de Medida. Microsoft SQL Server Data Engine sistema de gerenciamento de bando de dados relacional. Network Address Translation Tradução de endereço de rede. New Technology File System Sistema de arquivo Outlook Web Access Acesso internet correio Personal Computer Computador Pessoal. Post Office Protocol - Protocolo dos correios. Price Waterhouse Coopers - Prestação de serviços de Assessoria Tributária e Empresarial e de Auditoria. Random Access Memory Memoria de acesso aleatórias. Remote Desktop Protocol Protocolo de área de trabalho remota. Simple Mail Transfer Protocol - Protocolo para transferência simples de correio eletrônico. Structured Query Language Linguagem de consulta estruturada. Secure Shell Protocolo de conexão segura. Transmission Control Protocol Protocolo de Controle de Transmissão - IP - Internet User Datagram Protocol - Protocolo da camada de transporte. Uniform Resource Locator Localizador padrão de recursos. virtual Lan Redes virtuais Virtual Private Network Rede Privada Virtual. Extensible Markup Language Extensão de linguagem de marcação. 7

8 RESUMO Esse trabalho é o resultado de um estudo sobre a comparação de Firewalls. Veremos inicialmente característica de dois firewalls diferentes, sendo um proprietário e o outro de código aberto (software livre), suas principais funcionalidades e facilidade de configuração. Serão apresentadas as principais ferramentas que um firewall precisa ter para se tornar uma ferramenta confiável, avaliando sua eficiência e facilidade de configuração. Por fim auxiliando o administrador de rede a escolha da melhor ferramenta para o seu ambiente corporativo. Palavras-chave: Endian Firewall, Isa Server, Firewall, Segurança, Rede. 8

9 1. INTRODUÇÃO Diariamente, redes de computadores do mundo todo são atacadas por novas ameaças, que se aproveitam das brechas existentes em sistemas de segurança para atacar sistemas, servidores e usuários. Para combater essas ameaças, ferramentas são criadas e evoluem à medida que novos riscos são identificados. Entretanto, com especificações e custos distintos, essa gama de ferramentas pode não ser bem aproveitada pelos administradores de redes, que precisam acompanhar as constantes evoluções dos malwares que atacam seus sistemas e manter atualizadas suas ferramentas de proteção. (GEUS E NAKAMURA, 2007) Além de vazamentos de informações da empresa, é importante levar em consideração o tempo que os administradores levam para tentar eliminar a confusão causada por estes ataques. Em consequência desse cenário, se torna necessário se não obrigatório o uso de mecanismos para evitar esses ataques. Assim, a cada ano, novos produtos são lançados, cada vez mais rápidos e sofisticados, mas na mesma velocidade aumenta também a quantidade de vírus e worms, que também se tornam mais sofisticados. (ANDRADE, [201-?]) O roubo de 5,6 milhões de números de cartões de crédito da Visa e da MasterCard de uma administradora de cartões americana, em fevereiro de 2003, por exemplo, pode sugerir grandes problemas e inconvenientes para as vítimas. No Brasil, o roubo de mais de 152 mil senhas de acesso de grandes provedores, em março de 2003, resultou em quebra de privacidade e, em muitos casos, perdas bem maiores. No âmbito mundial, variações de worms como o Klez ainda continuam na ativa, mesmo passado mais de um ano desde seu surgimento. (...) Em junho de 2002, um incidente de segurança envolvendo usuários de cinco dos maiores bancos e administradores de cartões de crédito do Brasil resultou em prejuízos calculados em R$ 100 mil, mostrando que incidentes envolvendo instituições financeiras estão se tornando cada vez mais comuns, seja no Brasil ou em outros paíse s. (GEUS E NAKAMURA, 2007) Esses malwares visam uma contaminação e disseminação rápida, em alguns casos podem até usar as vítimas como origem de novos ataques. Geus e Nakamura (2007, p. 27) defendem que 9

10 [...] a evolução dos ataques aponta para o uso de técnicas ainda mais sofisticadas, como o uso de códigos polimórficos para a criação de vírus, worms, backdoor ou exploits, para dificultar sua detecção. Além disso, ferramentas que implementam mecanismos que dificultam a adoção da forense computacional também já estão sendo desenvolvidos. Os canais ocultos ou cobertos (covert channels) tendem a ser usados para os ataques, nos quais os controles são enviados por túneis criados com o uso de HTTPS ou o SSH, por exemplo. Defender a segurança do ambiente corporativo se torna, então, uma das grandes preocupações de empresas do mundo todo. E esta defesa passa pelo uso de hardwares, softwares, recursos de rede e, até mesmo, capacitação de equipes com vistas a evitar os ataques. (MARCIANO, 2006) A computação em geral pode ser divididos em dois componentes: Hardware e Software. O hardware é a parte física de um computador ou equipamento eletrônico, como gabinete, memória Ram, disco rígido, entre outros. O software é a parte lógica de um computador, são os programas inseridos dentro do hardware que realizam diferentes tarefas. Neste estudo, especificamente, vamos abordar uma das mais importantes ferramentas de defesa contra ataques cibernéticos, o firewall. Um firewall é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a esta rede, e existe na forma de software e/ou hardware. A instalação deste depende do tamanho da rede à qual será implementado, da quantidade de regras que controlam a saída e entrada de informações e do grau de segurança necessário para esta rede. Sua função é atuar como um filtro que impede a passagem de conteúdo indesejado, providencia anonimato, reduz tempo de latência e uso da banda, entre outras funções. Consiste em uma poderosa ferramenta de auxílio aos sistemas de segurança de redes locais que precisam se conectar a redes externas. Pretendemos analisar o uso deste recurso na proteção de redes com características diversas, iremos analisar desde redes mais simples até mesmo as mais complexa com vários servidores. A importância desse trabalho é 10

11 demonstrar que existe mais de uma solução para implantação de segurança de redes, fazendo um comparativo entre uma solução proprietária e uma livre, apresentando vantagens e desvantagens na adoção de uma dessas soluções. Neste sentido, este trabalho visa avaliar o desempenho, vantagens e desvantagens no uso de dois firewalls, são eles: o ISA Server, software proprietário, e o Endian Firewall, de código livre. Avaliando recursos técnicos, características e necessidades das redes, peculiaridades das conexões e disponibilidade financeira, pretendemos identificar, ao final da análise, que tipo de ferramenta proprietária ou livre é mais adequada e menos dispendiosa a cada tipo de rede local. 11

12 2. OBJETIVO 2.1. Objetivo geral Oferecer aos administradores de rede subsídios para escolha do firewall mais adequado às necessidades de sua empresa Objetivos específicos - Realizar um estudo comparativo entre ferramentas, sendo uma proprietária e outra livre. - Conhecer melhor as ferramentas de cada firewall. - Estudar os recursos de filtragem de pacotes. - Avaliar a eficácia de ferramentas proxy-firewall. - Apresentar prós e contras de seu uso na proteção de redes a ataques externos. - Realçar a importância do firewall no mundo corporativo. 12

13 3. METODOLOGIA A metodologia proposta divide em três etapas o estudo sobre ferramentas firewall: 1 - Levantamento de informações: Estudo das soluções de firewall e indicação dos quesitos que serão comparados entre as duas soluções. É importante buscar informações que irão indicar qual o firewall mais adequado para cada situação. Serão analisados a Topologia e esquema físico da rede; Criptografia e protocolos, bem como os serviços de rede, sistemas específicos, ativos e segmentos de rede críticos, endereçamento IP, relacionamento com redes e hosts externos, as altas taxas de transferência e as políticas de segurança. 2 Montagem do Laboratório: Para que a solução proposta atenda as necessidades o ambiente de rede, as topologias de firewall serão estabelecidas de acordo com as informações coletadas na primeira etapa. A topologia consiste de Concepção lógica, Modelo conceitual, Interface de análise, Visualização gráfica, Interface de procura, Gerenciamento de alertas e Geração de estatísticas. 3 - Testes: Para evitar situações inesperadas nos momentos de teste, é fundamental que se faça um levantamento de informações com muita atenção. Além disso, o projeto de firewall deve estar relacionado a satisfazer as necessidades do ambiente, evitando o bloqueio indevido de tráfego confiável. 4 Apresentação dos resultados e conclusão. 13

14 4. JUSTIFICATIVA Fica evidente nos dias de hoje, dada à quantidade de serviços oferecidos via web, a importância dos sistemas voltados à segurança de forma a garantir a confiabilidade nas diversas operações realizadas pelos seus usuários. Segundo dados do Instituto das Nações Unidas para Formação e Pesquisa (Unitar), em 2011, pelo menos 431 milhões de pessoas no mundo todo foram diretamente afetadas por ataques cibernéticos. (MAIS..., 2012) No caso de usuários domésticos, esse prejuízo pode não ser muito desastroso, mas no mundo corporativo os ataques virtuais podem ser tornar um grande pesadelo. Um estudo realizado pela PwC indicou que, em 2011, 32% das empresas brasileiras foram vítimas de crimes eletrônicos, sendo este o segundo principal tipo de crime praticado contra as corporações brasileiras. Em alguns casos, os prejuízos podem chegar a US$ 1 bilhão, além dos danos à reputação e a interrupção de serviços on-line. (BRASIL..., 2012) Outros prejuízos corporativos ainda são apontados por Geus e Nakamura (2007, p ): O roubo de 5,6 milhões de números de cartões de crédito da Visa e da MasterCard de uma administradora de cartões americana, em fevereiro de 2003, por exemplo, pode sugerir grandes problemas e inconvenientes para as vítimas. No Brasil, o roubo de mais de 152 mil senhas de acesso de grandes provedores, em março de 2003, resultou em quebra de privacidade e, em muitos casos, perdas bem maiores. No âmbito mundial, variações de worms como o Klez ainda continuam na ativa, mesmo passado mais de um ano desde seu surgimento. (...) Em junho de 2002, um incidente de segurança envolvendo usuários de cinco dos maiores bancos e administradores de cartões de crédito do Brasil resultou em prejuízos calculados em R$ 100 mil, mostrando que incidentes envolvendo instituições financeiras estão se tornando cada vez mais comuns, seja no Brasil ou em outros países. 14

15 5. REFERENCIAL TEÓRICO Para que possa compreender a função e a utilidade dos firewalls nas redes de hoje, é importante entender de que forma essas redes se formam e funcionam. Assim, destacamos os dois firewalls referência e de mercado, sendo um proprietário, Isa Server, e outro livre, Endian Firewall Redes de Computadores As redes de computadores surgiram devido à necessidade de troca de informações entre as máquinas de uma maneira mais rápida e simples, pois antes dos computadores utilizarem algum tipo de sistema de telecomunicação, toda a comunicação era efetuada por carregamento de instruções entre eles. (PETERSON e DAVIE, 2013) Foi George Stibitz quem deu início ao conceito de redes de computadores que conhecemos hoje. Em Setembro de 1940, ele utilizou uma máquina de teletipo para enviar instruções para um conjunto de problemas a partir de seu Model K na Faculdade de Dartmouth, em Nova Hampshire, para a sua calculadora em Nova Iorque e recebeu os resultados de volta pelo mesmo meio. (PETERSON e DAVIE, 2013) Durante os anos seguintes, pesquisadores desenvolveram sistemas de compartilhamentos para usuários distribuídos de grandes sistemas de computadores. Mas foi só a partir da década de 1990 que o escopo da comunicação de dados cresceu significativamente. [...]Durante as duas primeiras décadas de sua existência, os sistemas computacionais eram altamente centralizados, em geral instalados em uma grande sala com paredes de vidro, através das quais os visitantes podiam contemplar, embevecidos, aquela maravilha eletrônica. Uma empresa de médio porte ou uma universidade contava apenas com um ou dois computadores, enquanto as grandes instituições tinham, no máximo, algumas dezenas. Era pura ficção científica a ideia de que, em apenas 20 anos, haveria milhões de computadores igualmente avançados do tamanho de um selo postal. (TANENBAUM, 2003) As redes de computadores são formadas por um conjunto de módulos processadores capazes de trocar informações e compartilhar recursos, 15

16 interligados por um subsistema de comunicação. De modo geral, quando há pelo menos dois ou mais computadores e outros dispositivos interligados entre si de modo a poderem compartilhar recursos físicos e lógicos. (TANENBAUM, 2003) Tanenbaum (2003) explica, ainda, que redes locais surgiram para viabilizar a troca e o compartilhamento de informações e dispositivos periféricos, preservando a independência das várias estações de processamento, e permitindo a integração em ambientes de trabalho cooperativo. Pode-se caracterizar uma rede local com sendo uma rede que permite a interconexão de equipamentos de comunicação de dados numa pequena região, que são distâncias entre 100m e 25Km, embora as limitações associadas às técnicas utilizadas em redes locais não imponham limites a essas distâncias. Segundo o autor, a internet advém de um amplo sistema de comunicação e que conecta muitas redes de computadores. Dispõe de milhões de dispositivos interligados, permitindo o acesso a informações e todo tipo de transferência de dados. A internet carrega uma ampla variedade de recursos e serviços, incluindo os documentos interligados por meio de hiperligações da World Wide Web, e a infraestrutura para suportar correio eletrônico e serviços como comunicação instantânea e compartilhamento de arquivos Segurança de Rede Junto com o avanço das redes de computadores, surgiram vulnerabilidades que acabam por deixar expostos os dados que trafegam nessas redes. Assim, houve a necessidade de criar políticas e ferramentas para prevenir e monitorar acessos não autorizados, uso indevido, modificação ou negação da rede de computadores e dos seus recursos associados. (PETERSON e DAVIE, 2013) A proteção da informação que é transferida nas redes de computadores, é um processo importante para os usuários, sejam elas informações pessoas, que possa identificar a cada usuário, ou informações de uma empresa ou entidade. O cuidado com a integridade e autenticidade da informação está cada vez mais difícil de ser alcançado devido a várias formas de ataque, é necessário o 16

17 conhecimento dos processos e de ferramentas para que esses ataques sejam realizados. (PETERSON e DAVIE, 2013) Pessoas mal intencionadas e a falta de preparo de pessoas que trabalham na própria empresa causam a maior parte dos problemas de segurança. Devido essas pessoas, manter uma rede segura envolve mais do que mantê-la com equipamentos de última geração. [...] Para tornar uma rede segura, com frequência é necessário lidar com adversários inteligentes, dedicados e, às vezes, muito bem subsidiados. Também deverá ter em mente que as medidas utilizadas para interromper a atividade de adversários eventuais terão pouco impacto sobre os adversários "mais espertos". Os registros policiais mostram que a maioria dos ataques não é perpetrada por estranhos que grampeiam uma linha telefônica, mas por pessoas ressentidas com a organização a que pertencem. Consequentemente, os sistemas de segurança devem ser projetados tendo em vista esse fato. (TANENBAUM, 2003) Para a segurança das redes são utilizados vários métodos e princípios diferentes, para cada tipo de utilização na rede. Um dos métodos mais importantes é a utilização de firewalls. O ataque contra uma pessoa que esteja navegando na Rede é uma técnica específica usada para explorar deficiências, pontos fracos ou falhas inerentes de algum elemento do programa em que o usuário esteja usando. Um usuário que está conectado em uma rede de computadores pode estar sujeito a algum tipo de ataque contra seu computador, que possa vir a prejudicar o funcionamento de alguns de seus programas, ou ainda o roubo de informações da pessoa Protocolo TCP/IP Atualmente o protocolo de rede mais utilizado mundialmente é o modelo de referência TCP/IP. A maioria dos sistemas operacionais, hoje em dia, incluem e instalam a pilha TCP/IP por padrão. O TCP/IP é um conjunto de protocolos, que faz referência a dois protocolos diferentes: TCP e IP. (CERF e KAHN, 1974) 17

18 Este modelo foi definido inicialmente por Cerf e Kahn, em Leiner et al., em 1985, aperfeiçoou o modelo e Clark, em 1988, discutiu a filosofia de projeto na qual o modelo se baseia. (TANENBAUM, 2003) O TPC/IP possui quatro camadas: Aplicação; Transporte; Internet; Interface com a Rede. Figura 1 As camadas do protocolo TCP/IP (TANENBAUM, 2003) A camada de Aplicação é utilizada para comunicação entre os programas, é nesta camada que são encontrados os protocolos de aplicação HTTP (para navegação web), FTP (para transferência de arquivos) e o SMTP (para ). (TANENBAUM, 2003) Na camada de transporte é aplicado o protocolo TCP, onde os dados são recebidos pela camada superior, os dados são divididos em pacote e são enviados para a camada inferior. Além disso, esta camada é responsável por colocar os pacotes da rede em ordem e também verifica se o conteúdo está intacto. (TANENBAUM, 2003) A camada Internet tempo o protocolo IP, o qual é responsável por pegar os pacotes recebidos da camada superior e adicionar o endereço do computador que está enviando os dados e o endereço do computador que receberá os dados. (TANENBAUM, 2003) Os pacotes enviados pela camada Internet, são recebidos pela camada Interface com a Rede e os encaminharão os dados para rede. Caso o 18

19 computador esteja recebendo os dados, então esta camada também os receberá. (TANENBAUM, 2003) Para utilizarmos o protocolo TCP/IP em uma rede de computadores, devemos configurar alguns parâmetros em todos os equipamentos que fazem parte desta rede (Impressoras, Switchs, Servidores, Computadores, Roteadores, etc) Para se comunicar em uma rede baseada no protocolo TCP/IP, todo equipamento deve ter, pelo menos, um número IP e uma máscara de sub-rede, sendo que todos os equipamentos da rede devem ter a mesma máscara de sub-rede. (TANENBAUM, 2003) O IP é formado por conjuntos de números separados por ponto. Não podem existir duas máquinas com número IP iguais, dentro da mesma rede. O IPv4 é o protocolo IP mais utilizado, composto por 4 blocos de 8 bits, que são representados através de números de 0 a Gateway Pode ser dizer que o gateway é a entrada da rede em grosso modo é o "portão de entrada". O gateway pode ser um computador com duas ou mais placas de rede. Existem vários usos possíveis, desde interligar duas redes ou até compartilhar a conexão com a Internet entre várias estações Firewall Pense na sua rede corporativa como um castelo medieval. O acesso a ele deve ser controlado, de forma que seja possível saber exatamente o que entra e o que sai pelas portas do castelo. Para isso, é preciso cavar uma fossa profunda ao redor do castelo, deixando um guarda no portão de acesso, responsável por revistar todos que passarem por ali. Com esta analogia, Tanenbaum (1997, p. 468) explica como funciona o firewall. O muro de fogo, primordial quando o assunto é segurança de redes, executa exatamente a função de proteger a rede corporativa dos ataques externos, sendo um dispositivo eficaz no que tange os ataques de hackers e vírus. Segundo Kurose e Ross (2010, p. 535), ele pode ser um equipamento (hardware), um programa (software), ou a combinação dos dois, que funciona 19

20 isolando a rede interna de uma organização e selecionando o tráfego de pacotes. Assim, [...] um firewall permite que um administrador de rede controle o acesso entre o mundo externo e os recursos da rede que administra, gerenciando o fluxo de tráfego de e para esses recursos (KUROSE E ROSS, 2010, p. 536). A Figura 2 exemplifica claramente o funcionamento deste recurso. O administrador da rede configura o firewall de acordo com a política de privacidade da empresa, que consiste em um conjunto de regras que garante a credibilidade e confiabilidade das informações, evitando acessos de pessoas não autorizadas. Este sistema de segurança pode estar localizado no nível mais elevado de gateway, como no controle de conexões com a rede, por exemplo, ou pode estar nos níveis mais baixos, em casos de computadores individuais. O firewall, então, atua como um filtro, implementando as políticas de acesso e analisando todas as informações que trafegam entre a rede corporativa e a Internet. Se for detectada qualquer informação que conste na lista de não autorizados, esta será vista pelo firewall como possível ameaça, e será bloqueada. Figura 2 Esquema de funcionamento básico do firewall (TANENBAUM, 1997) Contudo, somente o firewall não garante que sua rede esteja segura contra invasores. O firewall não deve ser a única forma de defesa, ele é mais um dentre vários procedimentos que aumentam a segurança da sua rede. Uma limitação clara dos firewalls é que eles protegem somente contra ataques 20

21 externos, nada podendo fazer contra ataques que vem da parte interna da rede Tipos de firewall Os níveis de segurança e formas de proteção oferecidos pelos firewalls diferem conforme o tipo de ferramenta instalada. Para cada especificidade da rede, um tipo de recurso é o mais apropriado. Gouveia e Magalhães (2007, p. 233, 234) defendem que a escolha do firewall deve levar em conta o nível de segurança, de forma que seja adequado às necessidades da rede, ao mesmo tempo em que são considerados os gastos com administração e manutenção. Entre os detalhes mais importantes a serem observados, os autores destacam o suporte à política de segurança da rede em questão, de forma a atender às demandas autenticação do administrador; avançadas; a possibilidade linguagem de de filtragem utilizar medidas simples e de de fácil entendimento; o registro de tráfego de atividades suspeitas; a possibilidade de frequente atualização; entre outras características. Levando em conta as características de cada rede, e avaliando a aplicabilidade dos serviços de firewall disponíveis hoje no mercado, é possível definir que os tipos mais comuns são Filtragem de pacote e gateways de aplicação Filtragem de pacote O filtro de pacote funciona, essencialmente, no roteador que, instalado entre a rede corporativa e a Internet, dispõe de um software que analisa cada pacote de dados no momento em que faz o roteamento de uma rede para a outra. Nesse caso, todas as informações que entram ou saem da rede privada vão passar pelo roteador, que realiza a análise de acordo com as regras determinadas pelo administrador. Torres (2001, p. 415) explica que [...] o firewall funciona analisando o cabeçalho dos pacotes IP, que passam através dele, com origem ou destino a uma das redes à qual ele quer proteger [...]. Ao analisar o cabeçalho dos pacotes, o firewall consegue saber os protocolos usados e as portas de origem e destino do pacote. 21

22 Dessa forma, a filtragem de pacotes baseia-se, principalmente nos campos endereço IP da fonte e do destino; porta TCP/UDP da fonte e do destino; tipo de protocolo; tipo de mensagem e regras estabelecidas pelo administrador. Entre as principais vantagens deste tipo de firewall, Gouveia e Magalhães (2007, p. 228) destacam o fato de que não são necessárias alterações no nível do cliente, ou seja, todo o trabalho é feito nos roteadores e muitos dos modelos encontrados no mercado já incluem potencialidades de filtragem de pacotes. Isto torna esta tecnologia barata e sem grandes sofisticações, ideal quando o baixo custo é um item importante. No entanto, a simplicidade do sistema pode oferecer desvantagens, entre elas um nível de segurança muito primário, com regras difíceis de especificar e sem a possibilidade de registro de eventos. Para Gouveia e Magalhães (2007, p. 228), caso uma das regras seja violada não teremos como saber, e se viermos a saber, normalmente já será bastante tarde. Gallo e Hancock (2003, p.536) defendem que um firewall de filtragem de pacotes tem seu funcionamento otimizado quando aplicado como uma unidade dedicada em conjunto com um roteador, de forma que o roteador possa facilitar a comunicação enquanto o firewall de filtragem de pacotes pode prover a segurança da rede. O desempenho de um firewall de filtragem por pacotes piorará consideravelmente se mais filtros e operadores de filtro condicional forem configurados. A filtragem de pacotes também não suporta certos tipos de transações sensíveis a contexto numa rede. Isto é, muitos pacotes são requeridos para fazer algo e, quando tomados como um todo, implicam uma certa (e usualmente ameaçadora) condição corrida. (GALLO e HANCOCK, 2003) 22

23 Figura 3 Filtragem de pacote (GALLO e HANCOCK, 2003) Gateways de aplicação O gateway de aplicação utiliza um software, denominado serviço de proxy onde todas as requisições passam por um servidor e cabe a ele fazer essa consulta e repassar para o computador, para interceptar as conexões de cada protocolo, executando as inspeções de segurança. Este tipo de firewall medeia a conexão entre o usuário, protegido na rede interna, e a rede exterior. A cada conexão será solicitado, ao usuário, a identificação e senha. A partir destas informações, o gateway de aplicação verifica se ele tem permissão para executar aquela conexão. Em caso de resposta negativa, o próprio gateway encerra a conexão. Caso seja autorizado, o gateway realiza a conexão com a rede externa, passando os dados do usuário para a rede e vice versa. Assim, o proxy atua como uma interface entre o usuário e a internet. Gouveia e Magalhães (2007, p.230) destacam que, neste caso, o proxy verifica as permissões pré-definidas para ligar a outra rede e pode forçar regras de controle de acesso para determinadas aplicações. Através da filtragem de pacotes isso não é possível. Na prática, o firewall gateway de aplicação funciona de forma totalmente oposta ao de filtragem de pacotes. Esse último é de propósito geral, o primeiro é específico de uma aplicação ou programa. Segundo Tanembaum, [...] o gateway de aplicação é um complemento ao filtro de pacote, que toma decisões de transmitir ou não uma mensagem, com base em informações como tamanho ou mesmo conteúdo (1997, p.469). 23

24 Figura 4 Firewall Gateway (TANEMBAUM, 1997) Segundo Kurose e Ross (2010, p. 539), um gateway de aplicação faz mais do que analisar cabeçalhos IP/TCP/UDP, pois é um servidor específico através do qual todos os dados da aplicação (que entram e que saem) devem passar. Assim, o firewall analisa todo o conteúdo do pacote. Cada gateway é um servidor separado, com seus próprios processos, ainda que seja possível executar vários deles ao mesmo tempo, no mesmo hospedeiro. Este é, normalmente, considerado o tipo de firewall mais seguro, já que utiliza um tipo de código especial para cada serviço e permite o registro de todos os dados interceptados na entrada ou na saída. Gouveia e Magalhães (2007, p.230, 231) ainda apontam, como pontos positivos do gateway de aplicação, o impedimento de conexão direta por meio do firewall, a possibilidade de roteamento do correio eletrônico, o acesso exclusivo a serviços para os quais exista um proxy (caso não haja, o acesso é bloqueado), além da possibilidade de filtrar protocolos, como conexões FTP, por exemplo. Entretanto, desvantagens também são observadas neste firewall. Kurose e Ross (2010, p. 540) explicam que Em primeiro lugar, é preciso um gateway de aplicação diferente para cada aplicação diferente. Em segundo lugar, há um preço a pagar em termos de desempenho, visto que todos os dados serão repassados por meio do gateway. Isso se torna uma preocupação particularmente quando vários usuários ou aplicações estão utilizando o mesmo gateway. Por fim, o software cliente deve saber como entrar em contato com o gateway quando o usuário fizer uma solicitação, e deve saber como dizer ao gateway de aplicação a qual servidor se conectar. Para Gouveia e Magalhães (2007, p.230), a necessidade de desenvolver um código específico para cada protocolo transforma o gateway de aplicação um 24

25 firewall suscetível à obsolescência precoce, já que novas tecnologias podem não estar disponíveis imediatamente, ou mesmo não serem suportadas em médio e longo prazo. Por isso, existe o sério risco de degradação do desempenho do sistema Software livre x software proprietário Sempre vai existir uma discussão entre softwares livres e softwares proprietários. Um grupo de especialistas defende os ideais dos softwares livres e outros a reprovam por não ter um suporte eficiente. É evidente que os dois possuem vantagens e desvantagens, cabe o administrador escolher qual a melhor solução para a sua empresa. A licença de software livre permite que ele seja usado, copiado, estudado, modificado e redistribuído sem nenhuma restrição. Normalmente esse tipo de software é distribuído com seu código fonte. O site explica que um software só pode ser considerado livre quando atende aos quatro tipos de liberdade para os usuários definidos pela Free Software Foundation, a saber: 1. A liberdade de estudar como o programa funciona e adaptá-lo para as suas necessidades; 2. Acesso ao código-fonte é um pré-requisito para esta liberdade; 3. A liberdade de redistribuir cópias de modo que você possa ajudar ao seu próximo; 4. A liberdade de aperfeiçoar o programa, e liberar os seus aperfeiçoamentos, de modo que toda a comunidade se beneficie. O grande diferencial, como pode-se notar, é exatamente o fato de seu código fonte acompanhar a aplicação, permitindo que o usuário o modifique ou o customize. Esse procedimento é muito interessante, pois não existe uma empresa com quantidade de pessoas limitadas para corrigir erros ou até mesmo executarem melhorias. Os softwares livres são, portanto, o resultado de 25

26 uma comunidade com milhões de pessoas que podem perfeitamente executar esses procedimentos e aperfeiçoar os recursos. Conforme descrito no mesmo site, software livre não é sinônimo de gratuidade, porém, encontramos centenas de programas gratuitos e com qualidade superior a muitos softwares proprietários. Já os softwares proprietários são exatamente o contrário das ideologias dos softwares livres. Os códigos fonte não acompanham a aplicação, cabendo somente à empresa responsável a alteração, correção e customização do produto. Uma das desvantagens deste modelo é que, muitas vezes, essa customização gera um custo elevado para o cliente, que acaba desistindo do procedimento. Geralmente versões atualizadas dos programas não são compatíveis com as versões anteriores, forçando o usuário a comprar uma nova versão ou atualização do produto. A principal vantagem dos softwares proprietários é o suporte centralizado, que acaba sendo mais eficiente, uma vez que a empresa que pagou pelo software tem mais segurança, item muito importante hoje no mundo corporativo. Um dos desafios enfrentados, hoje, pelos programas proprietários é a pirataria. Para tentar vencer o problema, o modo de licenciamento de softwares está sendo modificado pelas empresas detentoras dos direitos. Uma delas é a Microsoft que, ao contrário de vender as licenças e atualizações, estuda introduzir o aluguel de software (CRUZ, 2007) 26

27 6. ENDIAN FIREWALL E ISA SERVER Passamos a descrever agora as características dos firewalls estudados neste trabalho, citando as suas principais funcionalidades, facilidade e dificuldades na instalação e configuração Endian Firewal O Endian Firewall é uma distribuição de firewall Linux que agrega softwares livres em um pacote integrado, com uma interface Web de gerenciamento, facilitando sua instalação e configuração. Este pacote integrado facilita a usabilidade do firewall, seu gerenciamento e maior flexibilidade para configuração. O pacote é composto pelo firewall, uma solução VPN, controle de conteúdo de acesso a WEB e um proxy de camada 7 (HTTP, FTP, POP3, SMTP) integrado com solução de antivírus e filtro antispam para o tráfego de . (RAIMUNDO et al, 2011) O Endian Firewall é distribuído pela Endian S.r.l., empresa fundada em 2003 na Itália. (ENDIAN..., [20-?]) Figura 5 Tela de boas vindas do Endian Firewall Requisitos de Hardware Muitos usuários optam por instalar os programas Endian em computadores totalmente dedicados a eles, uma vez que o Endian Firewall é um firewall de 27

28 código aberto para o Linux. Os requisitos de sistema para que o Endian Firewall funcione dependem do tamanho de sua rede. A lista abaixo foi retirada do site Processador: Redes com até 25 usuários e cinco conexões VPN precisam de um processador Pentium III de 1 GHz. PCs com o Endian em redes de até 50 usuários requerem um processador Pentium IV de 2,8 GHz ou mais rápido. RAM: Para redes menores, o Endian precisa de apenas 512 MB de RAM; para redes maiores com média de 50 computadores é necessário 1 GB. Espaço em disco: Redes pequenas precisam de pelo menos 8 GB de espaço livre em disco, enquanto as maiores precisam de pelo menos 20 GB. Outros componentes: Todos os computadores com o Endian Firewall precisam de dois cartões de rede de 100 MB. Além disso, os computadores com o Endian devem ser equipados com componentes extras de refrigeração, tendo em vista que eles funcionam sem parar Instalação O Endian Firewall conta com alguns métodos de instalação, onde o administrador pode baixar o software pelo site O arquivo possui um tamanho de aproximadamente 210 Mb em um formato ISO podendo criar e instalar a partir de um CD bootável. Para efetuar a instalação, precisamos ter em mãos o CD com a instalação do Endian Firewall. De posse deste CD e tendo seguido os requisitos mínimos para a instalação, pode ser iniciada a instalação do pacote Endian Firewall. 28

29 Figura 6 Iniciando a instalação do Endian Firewall Durante a simples instalação, será efetuada apenas a confirmação de particionamento dos discos e, ao final da instalação dos pacotes, será solicitado o IP do Endian Firewall para sua rede local. Figura 7 Configurando endereço IP Após finalizar a instalação o servidor deve ser reiniciado para que, então, as configurações iniciais sejam efetuadas no Endian Firewall Configuração Com o Endian Firewall instalado, devemos efetuar as configurações iniciais para que possamos começar a usar nosso firewall. Para isto, devemos acessálo via browser pelo endereço 29

30 Figura 8 Tela de boas vindas ao Endian Firewall Durante esta configuração deveremos indicar o idioma da interface desejada (Português do Brasil Disponível) e a Timezone para data/hora. Caso possua um backup de uma instalação anterior do Endian Firewall, neste procedimento de configuração é possível utilizá-lo, restaurando assim todas as configurações previamente efetuadas. É também necessário definir senha do usuário Admin (Usado para acessar a console Web) e root (Usado para acessar via SSH) e configurar o tipo de IP (Ethernet Static ou Ethernet DHCP), para que então sejam configurados os tipos de rede que serão utilizados. Precisamos entender o conceito utilizado no Endian Firewall para tipos de redes, pois estas são diferenciadas por cores. Para todos os casos, é necessário ter placas específicas para o tipo de rede, para que seja habilitada: Green: Usada para Rede Local Red: Rede conectada a internet Blue: Clientes Wi-fi Orange: DMZ 30

31 Figura 9 Tipos de Zonas de acordo com hardware detectado pelo Endian Firewall Caso desejar, pode ser definido um endereço de para envio de notificações. Neste caso, será necessário indicar um servidor SMTP que aceite relay sem autenticação. Após as configurações iniciais, o primeiro passo que podemos dar para começar usar o Endian Firewall é habilitar o acesso via SSH. Também será possível utilizar o servidor como proxy, desse modo todas as solicitações serão automaticamente redirecionadas para o proxy e não será necessário configurálo em todas as estações. 31

32 Figura 10 Tela inicial do Endian Firewall após ter efetuado todas as configurações Gerenciamento Conforme figura 11, na aba ESTADO podemos verificar os serviços oferecidos pelo pacote Endian Firewall. Estes serviços podem possuir dois status: Parado ou Executando. Estes serviços podem ser desabilitados ou habilitados pelo administrador do sistema. Figura 11 Serviços oferecidos pelo pacote Endian Firewall e seus status Ainda na aba ESTADO, a opção Estado da Rede traz informações sobre as interfaces de rede. Neste menu você poderá verificar se a interface de rede 32

33 está up (funcionando) ou down (parada). Também é possível verificar as informações sobre as interfaces de rede: Gráficos do sistema (Figura 12), onde poderá verificar os gráficos relativos ao consumo de CPU, memória, área de swap e disco rígido; Gráficos de tráfego, apresentando o consumo de banda nas interfaces de rede instaladas no Endian Firewall; Gráficos de proxy, para visualizar os gráficos referentes ao consumo de banda do proxy HTTP; Conexões, que mostra a lista de conexões atuais a partir do Endian Firewall ou passadas por ele; entre outros. Figura 12 Demonstração de gráficos de utilização do Sistema Para alterar as configurações de rede, devemos acessar a aba REDE. Nela será possível ajustar as opções: Edita hosts: nessa opção é aonde são cadastrados os nomes dos computadores, IPs e nome do domínio para resolução de nomes. Roteamento: nessa opção serão definidas as políticas de roteamento e as rotas estáticas: o Rede de Origem: rede de origem na notação CIDR 33

34 o Rede de Destino: rede de destino na notação CIDR o Rotear através de: endereço IP de um gateway o Habilitado: habilita a regra. o Observação: uma observação para lembrar o propósito desta regra posteriormente. Politica de Roteamento: Permite associar endereços de rede específicos, portas de serviços e protocolos com gateways. o Origem: A origem pode ser uma lista das zonas ou interfaces, uma lista de IPs ou redes em notação CIDR. o Destino: O destino pode ser uma lista de IPs, redes em notação CIDR ou uma lista de usuários do OpenVPN. o Serviço/Porta: Opcionalmente você pode especificar o protocolo, como por exemplo, TCP, UDP ou TCP + UDP e uma porta para a regra. o Rotear através de: Escolha o link que deve ser usado para esta regra. o Tipo de Serviço: O tipo de serviço (TOS) pode ser escolhido aqui. o Observação: Definir uma observação para lembrar o propósito da regra. o Posição: Defina onde deseja inserir a regra (posição relativa na lista de regras). o Habilitado: Marque esta caixa para ativar a regra (padrão). o Registrar todos os pacotes aceitos: Opção para registrar todos os pacotes que são afetados por esta regra. 34

35 Interfaces: Conexões adicionais podem ser criadas. o Tipo: As opções de configuração vão variar de acordo com o tipo escolhido. Normalmente essas informações são passadas pela empresa que provê o link. o Ligar uplink na inicialização: Esta opção especifica se um link deve ser ativado no momento da inicialização ou não. o Se essa conexão falhar: Este campo dá a possibilidade de escolher um link alternativo a partir da lista suspensa. Este link será ativado se o link atual falhar. o Tempo de reconexão: Podemos especificar o tempo (em segundos) que o link tenta reconectar se ele falhar. VLANs: LANs virtuais (VLANs) podem ser definidas. o Interface: a interface física da VLAN o ID da VLAN: Identificação da VLAN (0-4095). Sempre que uma LAN virtual é criada uma nova interface também é criada. Figura 13 Aba REDE Integração com ferramentas externas O Endian Firewall pode ser facilmente integrado ao AD da Microsoft. No próprio pacote de instalação do Endian Firewall, há ferramentas integradas a ele, como 35

36 Antivirus (Clamav), Antispam, Gerador de Relatórios (Sarg), Proxy (Squid), Controle de Acesso (Dansguardian), Cache HTTP (Squid) e Cache DNS (Dnsmasq). (RAIMUNDO et al, 2011) 6.2. ISA Server O ISA Server é um firewall desenvolvido pela Microsoft e consiste em um software proprietário com a finalidade de dar mais segurança em redes de computadores. ISA Server 2006 é o gateway integrado de segurança de borda que ajuda a proteger seu ambiente de TI contra ameaças baseadas na Internet, proporcionando aos seus usuários acesso remoto rápido e seguro para aplicações e dados. (MICROSOFT, 2014) Requisitos de Hardware Antes de começar a instalar o Isa Server 2006 é preciso preparar o ambiente com os requisitos necessários. Um computador pessoal com um 733 MHz ou superior CPU compatível com Pentium III. Sistema operacional Microsoft Windows Server 2003 com Service Pack 1 (SP1). 512 MB de memória. 150 MB de espaço em disco rígido para o cache. Um adaptador de rede que seja compatível com o sistema operacional do computador, para a comunicação com a rede interna. Um adaptador de rede adicional para cada rede conectada ao computa- dor do ISA Server. Uma partição de disco rígido local, que está formatado com o sistema de arquivos NTFS. Um procedimento fundamental antes de iniciar a instalação e a configuração é a verificação do hardware, respeitando as instruções de montagem e refrigeração do fabricante, uma vez que o computador destinado a esta função não poderá ficar indisponível. Um procedimento que pode melhorar a performance é trocar discos rígidos mecânicos (HDD) para disco sólidos (SSD). 36

37 Aviso: Não instale o ISA Server 2006 Standard Edition em um computador multi-processador com mais de quatro processadores.(microsoft, 2014) Instalação O Isa Server 2006 possui duas versões, Enterprise e Standard. O modo Standard está disponível para download em uma versão trial de 180 dias para que o administrador de rede execute todos os tipos de testes na ferramenta. A aplicabilidade de cada um depende dos recursos disponíveis e das necessidades da rede, conforme verificamos na Tabela 1: Recurso Standard Edition Enterprise Edition Escalabilidade Redes Ilimitada Escalabilidade Vertical Escalabilidade Horizontal Caching Ilimitada Redes corporativas Adicionais Até 4 CPUs, 2 gigabytes (GB) deilimitada (por sistema RAM operacional) Único servidor Até 32 nós via Balanceamento de Carga de Rede (NLB) Armazenamento único de servidor Ilimitado (pelo Cache Array Routing Protocol [CARP]) Disponibilidade Suporte ao BalanceamentoNão suportado de Carga de Rede (NLB) Sim (integrado) Gerenciamento Diretivas Lo Escritório Remoto Monitoramento/alerta Redes Múltiplas Diretivas de matrizes e de negócios que usam o Modo de Aplicação do Active Directory (ADAM) Pela importação e exportaçãodiretivas de níveis empresarial e manual da diretiva matricial Único console de monitoramento deconsole de monitoramento de servidor - Management Pack do múltiplos servidores Microsoft Operations ManagerManagement Packs do MOM (MOM) Modelos Modelos Tabela 1 Comparação ISA SERVER 2006 Enterpriser e Standard A instalação é bem simples, já que não é necessário adicionar nenhuma features ou roles do Windows Server Depois de dar início à instalação será necessário definir a interface ou o intervalo da rede interna. O modo custom tem a possibilidade de habilitar logs da ferramenta. 37

38 Figura 14 Página Rede Interna do ISA Server Configuração Depois de instalado, o Isa Server 2006 dispõe de uma diretiva de Firewall criada, que é uma regra padrão que nega o tráfego de todas as redes e de todos os usuários. Figura 15 Diretivas de Firewall O administrador de rede deve criar diretivas de acordo com a ordem de prioridade. A ordem que está mais acima é executada antes da que está mais abaixo. Sendo assim, se for criada, por exemplo, uma regra que libera o acesso ao protocolo HTTPS e logo abaixo outra regra bloqueando esse protocolo, o acesso será liberado. 38

39 Para criar uma regra, basta definir um nome, a ação (bloquear ou liberar), os protocolos, que são devidamente categorizados como protocolos comuns, , vpn e IPsec..., a origem e o destino. Na guia configuração o administrador de rede pode alterar e definir o layout de rede e propriedades da rede, configurar propriedades de cache, propriedades de suplemento e definir diretivas gerais e administrativas de segurança. Figura 16 Como funciona um firewall de Borda Para facilitar as configurações, o Isa Server possui 5 modelos de ambientes de rede: Firewall de borda - conecta sua rede interna à internet protegendo-a contra invasores. Perímetro de três seguimentos - conecta sua rede interna à internet, protegendo-a contra invasores e possibilita publicar serviços na internet por uma rede de perímetro. Firewall Externo permite usar o ISA Server como linha externa de defesa em uma configuração de rede perímetro back-to-back. Use esta opção quando tiver dois firewalls entre a rede interna protegida e a internet. Firewall Interno permite usar o ISA Server como linha interna de defesa em uma configuração de rede de perímetro back-to back. 39

40 Use esta opção quanto tiver dois firewalls entre a rede interna protegida e a internet. Adaptador de rede exclusivo - especifica se o ISA Server será usado em uma configuração de adaptador de rede exclusivo na rede interna ou de perímetro. Nessa configuração, o ISA Server pode ser usado para proxy da web, cache, publicação web e publicação de servidor OWA. Não há suporte para alguns cenários nesta configuração. O Isa Server 2006 possui várias regras de publicação dentre as quais estão as Regras de Publicação de Acesso de Cliente da Web do Exchanger, Regra de Publicação de Servidor de , Regra de publicação de Site do SharePoint, Regras de Publicação de protocolo de servidor não da web, regra de acesso e a regra de publicação de site. (MICROSOFT,2014) Um recurso muito eficiente do Isa Server 2006 é a regra de publicação de site. Neste recurso, quem faz a consulta ao servidor web é o próprio Isa Server, enquanto outros firewalls trabalham de outra forma, executando somente um NAT. (MICROSOFT,2014) Gerenciamento O Isa Server 2006 disponibiliza métodos principais para o registro em log da atividade de firewall: Registro em log do MSDE Consiste em um método padrão de registro de log de firewall e atividades web. O firewall grava os registros de logs diretamente no banco de dados do MSDE. Registro em log em arquivo Com esse método, o ISA Server grava os registros em log de forma sequencial em um arquivo de texto. O MSDE possui mais recursos e, consequentemente, utiliza mais processamento do sistema. Mudando essa configuração de MSDE para arquivo o administrador terá uma melhoria de 10 a 20% na utilização de processamento do servidor. (MICROSOFT,2014) 40