Análise do Firewall Iptables do Linux

Transcrição

1 Análise do Firewall Iptables do Linux Priscila Siqueira Aranha, Fabio Augusto Galvão Pinheiro, Matheus Barreto Meireles Vianna p r i s c i l a e n c o m p. i e s a m - p a. e d u. b r, f a b i o g a l v a o. p i n h e i r g m a i l. c o m, m a t h e u i n f. i e s a m - p a. e d u. b r Abstract The firewall is a safety device to protect your computer from unwanted traffic or access, applications that are running and the blocking of services that allow some risk of insecurity on the network. The aim of this paper is to analyze the Iptables the Linux firewall acting as a filter package and the control of bandwidth traffic in the network considering a corporate environment, the modules ipp2p layer 7 and will be used as additional packages to work at layer 7, implementation of the OSI model (Open Systems Interconnection). Keywords: Firewall, Iptables, Linux, layer 7, ipp2p and OSI model. Resumo O firewall é um dispositivo de segurança, a fim de proteger o computador de acessos ou tráfegos indesejáveis, de aplicações que estejam sendo executadas e no bloqueio de serviços que possibilitem algum risco de insegurança na rede. A proposta deste artigo é analisar o firewall Iptables do linux atuando como filtro de pacotes e no controle de banda no tráfego da rede considerando um ambiente corporativo, os módulos layer 7 e ipp2p, serão utilizados como pacotes adicionais a fim de trabalharem na camada 7 de aplicação do Modelo OSI (Open Systems Interconnection). Palavras-Chaves: Firewall, Iptables, Linux, layer 7, ipp2p e Modelo OSI. I. Introdução As redes de computadores surgiram para facilitar o dia-a-dia do usuário no compartilhamento de recursos, acessos, equipamentos, informações e internet, principalmente em ambientes corporativos. Com o aumento das invasões das redes de computadores e a disseminação de malwares (programas maliciosos), tendo a Internet como um canal de proliferação, é cada vez mais imperativa a adoção de uma política de controle de acesso à rede mundial de computadores e a configuração de firewall de filtro de pacotes no ambiente computacional das organizações, contemplando assim a segurança da informação no ambiente corporativo, neste particular, quando do acesso à Internet. Um firewall é um sistema, ou um conjunto de sistemas, que força uma política de segurança entre uma rede interna segura e uma rede insegura, como a internet [1]. O firewall adotado como proposta de trabalho funcionará no bloqueio ou não de serviços e acessos em um ambiente distribuído de computadores corporativo. Este dispositivo se tornara uma política de segurança como um grande aliado contra ataques virtuais, acessos indevidos, programas não-autorizados, vírus, etc. A idéia de projetar e analisar o firewall Iptables considerando um ambiente corporativo fictício, de modo a analisar a proteção de dados e informações proveio de consultas considerando a demanda de insegurança na rede acompanhada quase todos os dias em telejornais, sites, revistas e principalmente no significativo avanço tecnológico dos recursos na internet, que seduzem pessoas que utilizam esses recursos em benefício próprio, de ataques ilegais ou até mesmo para testar sua capacidade de intrusão em sistemas. Diante desta situação, este artigo tem como objetivo discorrer sobre a ferramenta Iptables (firewall do sistema operacional Linux) como mecanismo de segurança da informação no servidor de Internet num ambiente distribuído de computadores. II. Iptables O Iptables é o principal firewall para o Linux, e de longe o mais utilizado pelos administradores de sistemas. Isto se dá graças a sua portabilidade e confiabilidade, além da facilidade de manutenção e manipulação de seu banco de regra [1]. Ele possui três estruturas básicas: tabela filter, tabela NAT (Network Address Translate) e a tabela mangle. O iptables é o módulo responsável pela interface de configuração das regras do netfilter. Com ele podem-se editar as tabelas de filtragem de pacotes nativas do kernel [2]. A utilização da ferramenta Iptables, decorreu em estudos avançados de seus recursos de filtragem de

2 pacotes e módulos adicionais que existem para possibilitar a proteção no tráfego de informações. Dentre as possibilidades de tratamento do pacote, é imprescindível aplicar as regras de acesso que podem ser: ACCEPT (aceitar), DROP (bloquear) ou REJECT (rejeitar) de acordo com a necessidade e configuração estipulada para o firewall. III. Razões para a utilização do Linux. O Linux é um sistema operacional baseado no Unix, disponível sobre licença pública GNU (General Public License). O que significa que se pode ter acesso gratuito ao código fonte e permitindo inclusive, realizar quaisquer alterações no original adquirido [1]. A filosofia open source (software livre) vem a contribuir quantos aos avanços e progressos do código-aberto, pois a partir disso todo o usuário portador da filosofia, inova com a criação e modificação visando primeiramente no conhecimento e compartilhamento de experiências. A partir de idéias inovadoras, o Linux está cada vez mais ganhando espaço por apresentar características de um sistema operacional estável, robusto e mais seguro possível para o usuário. O Iptables nativamente presente em seu kernel, é um exemplo que a troca de experiências em sites oficiais Linux, absorve todos os dias aperfeiçoamento de sua estrutura básica que consistem em tabelas e regras. Isso graças à política de livre arbítrio do código-fonte. Dentre outros fatores econômicos, quanto ao menor custo já que se trata de um sistema operacional gratuito. Por exemplo, para uma pequena empresa investir em Linux, na estrutura iptables seria viável a ponto de obter gastos somente na mão-de-obra e não em licenciamento do software, dentre outras ferramentas que se pode utilizar deste universo livre. IV. Funcionamento do Firewall e Regras No artigo foi considerado um ambiente corporativo experimentalmente em laboratório, utilizamos à distribuição Debian com o kernel e o software putty a fim de executar os scripts. Conforme a Figura 1 existirá uma barreira de proteção, este será o servidor firewall para a LAN (Local Área Network), uma vez que, o firewall servirá de escudo para os ataques que venham a ocorrer a partir da internet. Figura1: Cenário da filtragem de pacotes realizados pelo firewall Neste firewall, deverão estar configurados todas as principais regras contras ataques da rede, de acordo com a estrutura básica do firewall Iptables. Além dos filtros que são empregados, os pacotes ipp2p e layer 7, estes serão fundamentais para os acessos indevidos na rede, no sentido de controlar a banda para os serviços de maior prioridade ou acessibilidade, por exemplo, HTTP (Hyper Text Transfer Protocol), SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol), FTP (File Transfer Protocol), SSH (Secure Shell) terão acesso de maior prioridade e aplicações P2P (peer-to-peer) entre outros serão a princípio bloqueados, conforme será acompanhado mais adiante. Os serviços que implicam no desempenho da rede, por exemplo, serviços peer-to-peer poderão ser bloqueados a fim de não congestionar a rede e não prejudicar o funcionário que deseja ler ou responder e- mails com urgência, realizar pesquisas na internet de acordo com suas necessidades no trabalho. As tabelas filter e NAT funcionam como proteção, pois o usuário da empresa possuirá uma barreira contra ataques da rede, dentre eles: vírus, invasões virtuais, malwares etc. Através da Figura 2, é possível analisar inicialmente de que forma as tabelas NAT e filter, trabalham no kernel (núcleo do sistema operacional) de acordo com suas respectivas regras.

3 Existem as regras que são fundamentais para a análise de aceitação ou bloqueio do pacote. De acordo ainda com a Figura 2, através da regra PREROUTING, o pacote sofre roteamento ao entrar na rede, sofrendo DNAT (Destination Network Address Translate), no POSTROUTING, é possível alterar características de origem do pacote após o roteamento, pois não se pode alterar seu destino por que este pacote já sofre o roteamento, este finaliza o processo que o pacote realiza antes de sair para o mundo das informações. Nesta regra, o pacote sofre SNAT (Source Network Address Translate ). Figura 2: Tabelas NAT e filter Fonte: Para o desenvolvimento do firewall as regras de construção das tabelas devem estar muito bem flexibilizadas, ou seja, nos serviços que terão acesso permitido ou bloqueado na rede. Além de flexibilizadas, deve-se ter o cuidado de priorizar ou não qual pacote será privilegiado para o usuário final em se tratando de ambientes corporativos, pois a confecção das regras acarreta decisivamente na proteção da rede. A flexibilização de regras caracteriza de que forma o Iptables filtrará esse pacote de IP (Internet Protocol) ou porta de destino ou porta de origem, será roteado pelo host servidor, é exatamente o que a Figura 2 ilustra. Inicialmente no código de configuração do firewall, alguns módulos são ativados dentre eles as tabelas NAT e filter e os filtros da camada de aplicação (layer 7 e ipp2p). Posteriormente adotamos a política DROP (bloqueio), pois dessa forma garantimos que o pacote bloqueado não passará pelo firewall, caracterizando a medida de segurança na rede. Na tabela filter ocorrem às regras de filtragem, possibilitando analisar os pacotes de acordo com as seguintes chains (regras): de destino na própria máquina (INPUT), os pacotes gerados localmente (OUTPUT) e qualquer pacote que esteja trafegando, sendo oriundo de outra máquina e direcionando para outra (FORWARD). Nesta tabela são bloqueados os pacotes mal formados, serviços TCP (Transmission Control Protocol) indesejáveis, nela que os pacotes que deverão trafegar livremente sem bloqueio e atuar na proteção de ataques maliciosos. Na tabela NAT encontra-se às regras de configuração das portas/ip de origem/destino da máquina. V. Incrementando com os módulos: Layer 7e IPP2P O Layer 7 é um filtro de pacotes que se baseia no protocolo da aplicação utilizada. Com a aplicação do Layer 7, o Iptables, passa a suportar mais funcionalidades, como por exemplo, bloquear os aplicativos MSN (messenger), Yahoo Messenger, ICQ, filtrar pacotes do Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, etc[4]. O módulo layer 7 funcionará como um filtro de pacotes na rede, trabalhando no nível da camada de aplicação do modelo OSI, ou seja, realizando a filtragem de pacotes diretamente no kernel (núcleo) do sistema operacional. De modo que o protocolo indesejado configurado como DROP derruba a conexão. A princípio será utilizado a fim de bloquear serviços que prejudiquem na estabilidade de tráfego na rede, considerando que serviços peer-to-peer afetam prejudicando no controle de banda da rede. Pois um serviço peer-to-peer, por exemplo, Bitorrent, Emule, ou serviços inseguros quanto aos sites de bate-papos, You Tube proporcionam um congestionamento de pacotes na rede, considerando os de alta prioridade para o bom desempenho e controle de tráfego dos serviços designados pelo firewall. Também influenciará decisivamente na menor proporção no risco de vírus. Na maioria das vezes, arquivos de vídeos, áudio ou batepapos podem adquirir ataques maliciosos, ocasionando os mais diversos problemas na rede, por exemplo, mensagens indevidas ou não autorizadas nas máquinas cadastradas na rede, entre outras ocorrências causando sérios riscos à segurança de dados e no bom andamento da empresa com transtornos de máquinas lentas (não necessariamente, pois pode ser um ou vários vírus no computador). Além do Layer 7, será utilizado também o módulo IPP2P, este será utilizado

4 a fim de proporcionar um elevado nível de segurança quanto as aplicações peer-to-peer, ocasionado no controle de banda da rede, uma vez que aplicações P2P terão acesso restrito, ou seja, dependerá se o usuário necessitar afins de ajudar em seu trabalho e não atrapalhando no andamento dos outros pacotes na rede quanto ao tráfego das informações. Na realidade serão privilegiados algumas portas TCP/UDP, endereços IP ou redes, a fim de fornecer a estes uma maior largura de banda a fim de trafegar os dados menos importantes, por exemplo, em uma empresa. A princípio, serviços peer-to-peer, sofreram DROP, a fim de bloquear a conexão, contudo utilizando a característica de flexibilização de regras do iptables, é possível restringir o acesso a determinados computadores. Considerando um ambiente corporativo nem todas as máquinas serão bloqueadas para o acesso de aplicações peer-to-peer, por exemplo, por política de segurança apenas o administrador da rede terá livre acesso da LAN e internet. VI. Ataques maliciosos Com o avanço do comércio eletrônico (ebusiness) e as correspondências eletrônicas ( ), os recursos computacionais e presença da Internet no ambiente corporativo são imprescindíveis, tornandoas dependentes deste tipo de tecnologia. Com o aumento da popularização da Internet, é possível a realização de cursos à distância, transações comerciais on-line, pesquisas, etc. Contudo, há o lado inseguro da Internet, que são pessoas mal intencionadas procurando brechas existentes nos sistemas dando a chance de realizar sabotagens eletrônicas como o vandalismo virtual a fim de obter acesso não-confiável, roubo de informações etc. Dessa forma os impactos causados pelos ataques vindos da Internet ou da própria rede interna geram prejuízos e podem até ameaçar a continuidade do negócio das empresas. Com a alta dos casos de insegurança da informação como ataques que serão devidamente comentados, do tipo DOS(Denial of Service) (Syn-flood, Tirn00), IP spoofing, Worms, Trojans, Ping da morte, Port scanners e outros serviços da Internet que são utilizados para a disseminação de códigos maliciosos, como: comunicação instantânea (ICQ, MSN, etc.), páginas com conteúdo pornográfico, sites de relacionamentos como Orkut, download de arquivos de fontes não confiáveis, principalmente os das redes P2P como Kazaa, Emule, entre outros; é cada vez mais necessária a adoção de uma política de segurança da informação pelas organizações evitando também expor a imagem da organização, e sobrecarregar a banda de rede antecipando desta forma investimentos em link de Internet. Sendo assim, implantar políticas de firewall e controle de acesso à rede no servidor de Internet para o ambiente corporativo minimiza os riscos e as ameaças vindas deste canal de comunicação utilizado pelos funcionários das empresas com o intuito de cumprir as atividades relacionadas ao trabalho e, em determinados momentos esses funcionários acessarem páginas e baixam arquivos de fontes não confiáveis, podendo assim, expor ou comprometer a integridade dos sistemas computacionais existentes no ambiente de negócios da organização.[2] Para a NBR ISO/IEC (2005, p. ix) define segurança da informação como [...] a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. [4]. Proteção contra IP Spoofing IP spoofing é uma técnica de ataque que consiste em forjar (spoof) pacotes IP utilizando endereços de remetentes falsificados, ou seja, consiste na troca do IP original por outro, podendo então se passar por um outro host. Por meio de IP Spoofing alguem pode se aproveitar de hosts confiáveis armazenados no arquivo.rhosts, e acessar em máquinas via rlogin, por exemplo, onde não é pedido senha. A proteção contra IP Spoofing será feita bloqueando as redes geralmente utilizadas para este fim, onde encontram-se os IP falsos por exemplo: , e Isto será feito através da especificação de endereços de origem/destino junto com a interface de rede, para detectar os ataques. A lógica é que todos os endereços que não devem vir da interface Y (que será especificada) devem ser imediatamente negados[7][8]. A figura 3 mostra um exemplo de como funciona o ataque pó IP SPoofing:

5 Fig.3: Exemplo de ataque IP Spoofing Fonte: Proteção contra Ping da morte No TCP a conexão é orientada, ou seja, cada pacote de dados (bit s por segundo) tem que ter o tamanho exato, o ping da morte consiste no envio de pacotes TCP/IP de tamanho inválidos para servidores, ocasionando o travamento ou o impedimento de trabalho dos mesmos. Para impedir esses ataques serão criadas regras no iptables para limitar em uma vez por segundo a passagens de pings(echo requests) e limitar também as respostas a pings (echo reply) a uma por segundo.[8] Proteção contra Port Scanning Port Scanning (varredura de portas): um ataque de port scanners dar-se na avaliação de um sistema com a intenção de saber quais serviços estão disponíveis no mesmo, através da observação das portas de serviços UDP e TCP. Com as informações conseguidas por meio desse tipo de ataque, é possível investir esforços para prejudicar recursos específicos. Os softwares responsáveis por efetuar este tipo de ataque são conhecidos como port scanners e dentre os mais conhecidos está o Nmap, disponível para sistemas Linux. Para proteger a rede desse tipo de ataque serão criadas regras no iptables que impede conexões executadas pelos port scanners.[4][8] $iptables -N SCANNER $iptables -A SCANNER -m limit --limit 15/ m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner: " $iptables -A SCANNER -j DROP FIN,URG,PSH -i $IF_EXTERNA -j SCANNER NONE -i $IF_EXTERNA -j SCANNER ALL -i $IF_EXTERNA -j SCANNER FIN,SYN -i $IF_EXTERNA -j SCANNER SYN,RST,ACK,FIN,URG -i $IF_EXTERNA -j SCANNER $iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $IF_EXTERNA -j SCANNER $iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $IF_EXTERNA -j SCANNER Proteção contra Worms e Trojans Um Worm é uma subclasse de vírus que normalmente espalha-se sem interação do usuário e espalha cópias completas (possivelmente modificadas) de si mesmo através das redes; consumindo assim a memória ou largura de banda, fazendo com que um computador ou uma rede fique travado. Como essa subclasse de vírus não necessita de um programa para se espalhar, pode infiltra-se em um sistema e possibilitar que outra pessoa controle à distância. [4][8] Os trojans são programas maliciosos disfarçados de programas legítimos, diferentemente de worms, não se replicam. São instalados diretamente no computador e espalham-se quando o usuário executa um programa descuidadosamente, porque pensa ser de uma fonte legítima. O servidor do trojan se instala e se esconde no computador da vítima, geralmente dentro de outro arquivo. Quando esse arquivo é executado, o computador pode ser acessado pelo cliente, que irá enviar instruções para o servidor executar certas operações no computador da vítima. Como proteções serão utilizadas regras no iptables que bloqueiam acesso as portas que os trojans e worms usam para conexão em rede. [7][8] DOS (Denial of Service) De acordo com a definição de STEIN, L. & STEWART [6], Negação de Serviço (DoS) é um tipo de ataque que possibilita deixar um sistema inutilizável ou consideravelmente lento para os usuários

6 legítimos consumindo seus recursos, de forma que ninguém consegue utilizá-los. Para isso, são utilizadas técnicas que podem sobrecarregar uma rede a tal ponto em que os verdadeiros usuários dela não consigam usá-la, derrubar uma conexão entre dois ou mais hosts; enviar um número absurdo de requisições a um site até que este não consiga mais ser acessado e ainda negar acesso a um sistema ou a determinados usuários. DDos (Distributed Denial of Service) A Negação de serviço distribuído (DDoS) consiste no uso da computação distribuída para efetuar os ataques. O atacante invade e controla vários computadores para executar o ataque a partir de diferentes pontos simultaneamente e coordenados sobre um ou mais alvos. De uma maneira bem simples DDos nada mais são do que Dos em larga escala. A topologia de uma rede DDoS é dividida em quatro partes. Os sistemas atacantes são divididos em agentes e mestres. Os agentes produzem o tráfego que irá produzir a negação de serviço, onde estes agentes são controlados por um ou mais mestres. O uso de duas camadas (mestres e agentes) entre o atacante e a vítima dificulta o rastreamento[6][8]. Conforme demonstrado na figura 4 abaixo: O Trin00 consiste em uma ferramenta de ataque DDos e usa os protocolos UDP e TCP para comunicar-se com o servidor, necessitando assim utilizar portas, tornando mais fácil a detecção devido a troca de mensagem. Para combater esta ferramenta, através das regras do iptables, irá ser monitorado tráfego UDP e TCP, visando às portas utilizadas para a comunicação entre mestres e escravos, impedindo a utilização dos computadores da rede para os ataques. [8] Na política de segurança proposta à regra DROP foi utilizada a fim de bloquear e encerrar conexões de invasão oriundo da internet (EXTERNA) para a LAN, conforme segue o script abaixo: $iptables -N TRINOO $iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: " $iptables -A TRINOO -j DROP $IF_EXTERNA --dport j TRINOO $IF_EXTERNA --dport j TRINOO $IF_EXTERNA --dport j TRINOO $IF_EXTERNA --dport j TRINOO $IF_EXTERNA --dport j TRINOO Proteção contra Syn Flood Fig.4: Exemplo de ataque Ddos Fonte: servicoimplementacao-defesas-e-repercussoes? pagina=4 Proteção contra Trin00 Quando um cliente tenta estabelecer uma conexão TCP com um servidor, o cliente e o servidor trocam uma série de mensagens, onde cliente requisita uma conexão enviando um SYN (synchronize) ao servidor, depois o servidor confirma esta requisição mandando um SYN-ACK de volta ao cliente, por fim o cliente responde com um ACK, e a conexão está estabelecida. O SYN flood ou ataque SYN consiste em um ataque de negação de serviço, no qual o atacante envia uma seqüência de requisições SYN para um hostalvo sem responder com ACK. Dessa maneira o servidor irá esperar por um determinado tempo, já que um congestionamento de rede pode ocasionar a falta do ACK. Porém como o ataque é constante a conexão configura-se na chamada conexão semi-aberta ocupando recursos do servidor, causando prejuízos para empresas que utilizam software licenciados por conexão. Para este caso será utilizada uma regra que limita o atendimento de requisições de conexões a 2 por segundo[7][8]. Na figura 5 demonstra-se o

7 estabelecimento de conexão em condições normais já na figura 6 em ataque Syn Flood: A relação custo/benefício compreende nos gastos que essa empresa não terá em licenciamento do sistema operacional, e sim no serviço de configuração de regras, ou seja, na manutenção do funcionamento eficiente do firewall. Dessa forma, a oferta de um firewall nos padrões descritos neste artigo possui uma grande aceitação nas grandes empresas de acordo com a pesquisa realizada pela ISF (Instituto Sem Fronteiras) neste ano, onde destaca que 73% das empresas utilizam software livre. VIII. Referências Bibliográficas Fig.5: Exemplo de conexão normal estabelecida Fonte: Fig.6: Exemplo de conexão em Syn Flood Fonte: VII. Resultados [1] S. A. Ribeiro. Firewall em Linux. Minas Gerais, pps.10,.43, 55. Disponível em: SildenirRibeiro.pdf [2] A. L. dos S. Domingues, C. R. Fonseca,. Segurança de redes com uso de um aplicativo firewall nativo do sistema Linux. Ribeirão Preto p. [3] N. G. P. Costa. Proposta para migração de um ponto de Rede Wireless comercial, de um Provedor de Internet via Rádio, para estrutura configurada em Software Livre. p. 12,. Disponível em: NilmaraCosta.pdf [4] J. J. de Lima,. Mecanismos de Segurança da Informação no Ambiente Corporativo: as ferramentas iptables e squid no servidor de internet como firewall e controle de acesso. Mato Grosso-Rondonópolis págs. 16,27,55. [5] H. L.Jucá, Técnicas Avançadas de Conectividade e Firewall em GNU/LINUX. Rio de Janeiro, BRASPORT Livros e Multimida Ltda., pág [6] L. STEIN & J. STEWART, Securing Against Denial of Service Attacks. Disponível em: [7] Urubatan NETO, Dominando Linux Firewall Iptables. 1. Ed. Ciência Moderna p. [8] T. J. P. Nogueira,. Invasão de Redes: Ataques e Defesas. Ciência Moderna p. Analisando o firewall adotado como política de segurança a partir das tabelas e regras flexibilizadas, proveio à análise dos pacotes bloqueados, portas ou IP s como os acessos de protocolos garantidos na rede; a proteção contra vírus e bloqueios de serviços que comprometa no controle de banda etc. Os recursos de filtragem de pacotes e a flexibilização das regras preencheram a lacuna de insegurança que foi prevista considerando uma empresa fictícia e analisada conforme a aplicação do firewall iptables, ou seja, a utilização do sistema operacional Linux juntamente com seu firewall, não deixou nada a desejar, considerando o quesito segurança.