Roteiro. 1 Firewalls. 2 Filtros de pacotes. 3 Filtros de pacotes com estado. 4 Firewalls de aplicação. 5 Proxies de aplicação

Transcrição

1 Roteiro TOCI-08: Segurança de Redes Prof. Rafael Obelheiro 1 Firewalls 2 Filtros de pacotes 3 Filtros de pacotes com estado 4 Firewalls de aplicação 5 Proxies de aplicação Aula 15: Firewalls 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 1 / 54 O que é um firewall c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 2 / 54 Por que usar firewalls Barreira entre nós e eles para alguma definição de nós e eles... Limita a comunicação com o mundo exterior o mundo exterior pode ser outra parte da organização Apenas algumas máquinas ficam expostas a ataques a idéia é que essas máquinas sejam bem protegidas A maioria dos hosts possui vulnerabilidades de segurança prova: (quase) todo software tem bugs. Portanto, (quase) todo software de segurança tem bugs de segurança Firewalls executam muito menos código, e portanto têm menos bugs (e vulnerabilidades) Firewalls podem ser administrados por pessoas mais capacitadas Firewalls possuem um conjunto mais reduzido de software, e usam facilidades de logging e monitoração extensivamente Firewalls implementam a separação de uma rede em domínios de segurança distintos sem essa partição, a rede se comporta como uma enorme máquina virtual, com um conjunto desconhecido de usuários comuns e privilegiados c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 3 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 4 / 54

2 Exemplos de firewalls no mundo real Não seria melhor corrigir os protocolos? O controle de passaportes é feito nas fronteiras e no desembarque internacional Em uma casa, há poucas portas que dão para a rua, não raro bem protegidas (grades, alarmes, etc.) as portas internas, por outro lado, geralmente são deixadas destrancadas Bancos possuem guardas e cofres... O problema que os firewalls tratam não é a segurança de redes firewalls são uma resposta de rede para um problema de segurança de hosts Mais precisamente, eles são uma resposta para o lamentável estado atual da engenharia de software: de forma geral, não sabemos construir software seguro, correto e fácil de administrar Portanto, protocolos de rede mais seguros não irão eliminar a necessidade de firewalls a melhor criptografia do mundo é incapaz de resolver bugs de software c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 5 / 54 Vantagens de firewalls se não vai precisar, é melhor se livrar Não existem usuários comuns, e portanto não existem senhas para eles Poucos serviços de rede são necessários (às vezes nenhum) Raramente é necessário usar as versões mais recentes de software melhor deixar os outros sofrerem antes com os bugs Logs são gerados para (quase) tudo, e os arquivos de log são monitorados cuidadosamente Diversos backups devem ser mantidos c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 6 / 54 Diagrama esquemático de um firewall filtro filtro Interior Gateway(s) Exterior DMZ uma máquina comum não pode ser administrada assim c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 7 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 8 / 54

3 Peças do esquema A DMZ O interior é onde ficam os mocinhos tudo o que fica no interior é considerado amigo, e portanto digno de confiança O exterior é onde ficam os bandidos tudo o que reside ou vem do exterior é, no mínimo, suspeito A zona desmilitarizada (DMZ, DeMilitarized Zone) é onde são colocados servidores necessários mas potencialmente perigosos Bom lugar para colocar coisas como servidores de e web Usuários externos podem enviar e acessar páginas Usuários internos podem baixar e atualizar páginas Deve ser monitorada com bastante cuidado caminho mais provável de tentativas de invasão c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 9 / 54 Posicionando firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 10 / 54 Por que domínios administrativos? firewalls protegem domínios administrativos Firewalls implementam uma política A política segue fronteiras administrativas, não físicas Exemplos UDESC: domínios de proteção separados para DCC, DEE, BU,... em uma empresa: domínios de proteção separados para RH, financeiro, suporte, desenvolvimento,... c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 11 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 12 / 54

4 Particionando um local Filosofias de firewall 1. Bloquear tudo o que for perigoso 2. Bloquear tudo, e só liberar acesso ao que for seguro E necessário A primeira opção exige que se conheça tudo o que é perigoso em toda a rede um deslize pode ser o suficiente para permitir uma invasão A segunda opção é muito mais segura Em geral, não apenas o tráfego de entrada deve ser controlado mas também o de saída maus elementos no interior detecção de extrusões IP spoofing c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 13 / 54 Roteiro c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 14 / 54 Tipos de firewalls 1 Firewalls 2 Filtros de pacotes 3 Filtros de pacotes com estado 4 Firewalls de aplicação 5 Proxies de aplicação Filtros de pacotes Filtros de pacotes dinâmicos Gateways de aplicação Relays de circuito Firewalls pessoais Muitos firewalls são uma combinação desses tipos 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 15 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 16 / 54

5 Filtros de pacotes Filtrando sem estado Baseados em roteadores como roteadores já são usados para acesso Internet, filtros são baratos Pacotes individuais são aceitos ou rejeitados não existe contexto Regras de filtragem são difíceis de configurar primitivas muitas vezes inadequadas regras diferentes podem interagir Protocolos difíceis de lidar incluem FTP, X11 e serviços baseados em RPC Conexões para o exterior são permitidas Pacotes de resposta devem ser permitidos Para TCP, isso pode ser feito sem manter estado O primeiro pacote de uma conexão TCP tem apenas a flag SYN ativa Todos os outros pacotes têm o bit de ACK ligado Solução: deixar passar todos os pacotes com bit de ACK ligado c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 17 / 54 Exemplo de conjunto de regras c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 18 / 54 Um conjunto de regras incorreto Um spammer deve ser bloqueado, mas todos os outros devem poder enviar para o servidor bloqueia: host ext = spammer permite: host ext = qualquer e porta ext = qualquer e host int = srv-mail e porta int = 25 Todas as conexões com servidores de mail externos devem ser permitidas permite: host ext = qualquer e porta ext = 25 e host int = qualquer e porta int = qualquer Não existe controle sobre quem está usando a porta 25 em outro host qualquer processo pode iniciar uma comunicação c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 19 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 20 / 54

6 Corrigindo as regras Posicionando filtros de pacotes permite: host ext = qualquer e porta ext = 25 e host int = qualquer e porta int = qualquer e bitset(ack) Apenas conexões saintes são permitidas Geralmente as regras são definidas para cada interface de rede As regras ainda são subdivididas entre pacotes que entram (inbound) ou saem (outbound) da interface O melhor é filtrar os pacotes que entram menor perda de informações de contexto c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 21 / 54 Filtrando pacotes na entrada exterior firewall interior DMZ Se a filtragem for feita na saída para a DMZ, não é possível determinar de onde os pacotes estão vindo c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 22 / 54 Filtros de pacotes e UDP UDP não tem noção de conexão é impossível distinguir uma resposta (que deve ser permitida) de um pacote iniciado por um host externo Endereços de origem podem ser forjados com facilidade como não há conexão, o host externo não precisa receber tráfego de resposta do host interno Uma tentativa é bloquear tráfego UDP para portas sabidamente perigosas isso tem tudo para dar errado, porém Talvez o melhor seja liberar tráfego UDP apenas para hosts selecionados servidores bem configurados e monitorados c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 23 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 24 / 54

7 O papel dos filtros de pacotes Filtros de pacotes simples têm diversas limitações UDP, ICMP, FTP, RPC,... Ainda assim, podem ser úteis em determinados cenários ambientes simples, com poucas regras funcionalidade disponível em quase todos os roteadores proteção de hosts individuais servidor web só precisa das portas 80 e 443, por exemplo filtragem de endereços endereços da rede interna não devem vir do exterior endereços de outras redes não devem vir do interior bloqueio no roteador de borda ajuda a conter ataques de IP spoofing Filtros de pacotes dinâmicos (com estado) são uma solução mais apropriada Um exemplo de configuração exterior DMZ: /24 firewall mail DNS interior: /16 o servidor DNS atende apenas a consultas internas c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 25 / 54 Regras para o exemplo iface ação endereço porta flags ext bloq src= /16 ext bloq src= /24 ext perm dst=mail 25 ext bloq dst=dns 53 ext perm dst=dns UDP ext perm Any ACK ext bloq Any DMZ bloq src /24 DMZ perm dst= /16 ACK DMZ bloq dst= /16 DMZ perm Any int bloq src /16 int perm dst=mail 993 int perm dst=dns 53 int bloq dst= /24 int perm Any c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 26 / 54 Roteiro 1 Firewalls 2 Filtros de pacotes 3 Filtros de pacotes com estado 4 Firewalls de aplicação 5 Proxies de aplicação 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 27 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 28 / 54

8 Filtros de pacotes com estado (stateful) Problemas resolvidos por estados Tipo mais comum de filtro de pacotes atualmente Resolvem a maioria dos problemas com filtros de pacotes simples, mas não todos Requerem estado por conexão no firewall Princípio de funcionamento quando um pacote é enviado para a rede externa, isso fica registrado os pacotes entrantes são associados ao estado criado pelo pacote de saída É possível casar uma resposta UDP com a requisição correspondente Pacotes ICMP podem ser associados a uma conexão destination unreachable, TTL exceeded,... Evita varreduras com ACK setado Resolve alguns dos problemas com tráfego entrante mas tabelas de estado precisam ser associadas aos pacotes entrantes Regras específicas para evitar spoofing ainda são necessárias c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 29 / 54 Problemas remanescentes c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 30 / 54 NAT (Network Address Translation) Protocolos que usam portas secundárias (FTP, SIP,... ) RPC Protocolos com semânticas complexas (DNS) Traduz endereços de origem (e às vezes números de porta também) Objetivo principal é lidar com a falta de endereços IP válidos Em alguns casos, vendido como excelente mecanismo de segurança com sorte, não é mais seguro do que um filtro de pacotes com estado se for mal configurado, pode não resolver nada c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 31 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 32 / 54

9 Comparação Roteiro filtro de pacotes com estado Sainte cria uma entrada na tabela de estados NAT Sainte cria uma entrada na tabela de estados. Traduz o endereço 1 Firewalls 2 Filtros de pacotes 3 Filtros de pacotes com estado Entrante verifica se existe entrada na tabela de estados; descarta o pacote se não existir Entrante verifica se existe entrada na tabela de estados; descarta o pacote se não existir. Traduz o endereço A diferença está apenas em traduzir ou não os endereços 4 Firewalls de aplicação 5 Proxies de aplicação 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 33 / 54 Firewalls de aplicação Filtros de pacotes operam na camada de rede, usando algumas informações da camada de transporte não podem proteger contra ataques nas camadas superiores controle de granularidade grossa: aplicações inteiras são permitidas ou bloqueadas às vezes se deseja funcionalidade parcial Vantagens de firewalls de aplicação proteção especializada para cada aplicação contexto disponível é maior apenas aplicações escolhidas têm seu desempenho afetado Desvantagens de firewalls de aplicação não protegem contra ataques nas camadas inferiores exigem um programa separado para cada aplicação podem ser bastante complexos podem ser intrusivos demais para usuários, aplicações,... c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 34 / 54 Exemplo: protegendo Deve-se proteger o entrante ou o sainte? parte do código é igual, parte é bem diferente Deve-se trabalhar no nível do SMTP ou do conteúdo? Como lidar com MIME? pior, como lidar com criptografado com S/MIME ou PGP? Quais são as ameaças? c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 35 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 36 / 54

10 Ameaças contra entrante Obviamente, bugs de implementação dos protocolos envolvidos Vírus de ? SPAM? Javascript? Bugs em HTML? Violações da política organizacional de uso de ? Verificação de assinaturas digitais? Nada disso pode ser tratado com filtros de pacotes DNS permite redirecionar todo dirigido a uma rede para um ou mais servidores específicos registros tipo MX, possivelmente com registros *.domínio Múltiplas camadas de proteção são possíveis o servidor de designado pode proteger a transação SMTP uma vez recebido corretamente, o pode ter seu conteúdo inspecionado vírus, SPAM, phishing, conteúdo impróprio,... o firewall pode implementar uma dessas funções ou ambas c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 37 / 54 sainte c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 38 / 54 Combinando tipos de firewall Protocolo não ajuda aqui A maioria dos mailers permite redirecionar todo o tráfego de saída para um nó central (relay host) Isso pode ser decidido administrativamente, e reforçado com um filtro de pacotes O entrante e sainte é tratado por um firewall de aplicação Um filtro de pacotes é usado para garantir que todo o tráfego de só pode passar pelo firewall de aplicação c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 39 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 40 / 54

11 Um firewall para exterior firewall interior DMZ antispam receptor antivírus SMTP Implementação não pode ser transmitido de outra maneira Recepção o único servidor SMTP com quem máquinas externas podem se comunicar é o receptor SMTP o receptor repassa o para um filtro antivírus e anti-spam, usando um protocolo qualquer essa máquina fala SMTP com algum servidor interno de outro benefício: se o receptor SMTP for comprometido, ele não pode se comunicar diretamente com a rede interna Envio um filtro de pacotes bloqueia conexões saintes para a porta 25/tcp a única máquina que pode falar SMTP com servidores externos é um servidor dedicado para envio de esse servidor pode estar na rede interna ou na DMZ c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 41 / 54 Roteiro c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 42 / 54 Pequenos gateways de aplicação 1 Firewalls 2 Filtros de pacotes 3 Filtros de pacotes com estado 4 Firewalls de aplicação Alguns protocolos não precisam de um tratamento completo na camada de aplicação Infelizmente, um filtro de pacotes não serve Solução: examinar parte do tráfego usando um proxy específico de aplicação, e tomar as medidas necessárias 5 Proxies de aplicação 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 43 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 44 / 54

12 Proxy para FTP Atacando o proxy de FTP O protocolo FTP tem um comando PORT que especifica a porta que vai ser usada para transferir um arquivo PORT 192,168,1,2,235,210 servidor abre uma conexão para o cliente a porta é determinada em tempo de execução por isso é difícil filtrar FTP de forma segura Uma solução pode ser usar um proxy para FTP o canal de controle do FTP é monitorado se um comando PORT for detectado, avisa ao firewall para abrir a porta temporariamente para a conexão entrante soluções semelhantes se aplicam ao RPC Applets Java podem se comunicar com o seu host de origem Um applet malicioso pode abrir um canal FTP e enviar um comando PORT contendo um número de porta de um serviço vulnerável em uma máquina supostamente protegida O firewall vai permitir a conexão entrante Solução: aumentar a inteligência do firewall com relação a quais hosts e números de porta podem aparecer em comandos PORT c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 45 / 54 Proxies web c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 46 / 54 Roteiro 1 Firewalls Suporte nativo a HTTP Vantagens adicionais caching de páginas desempenho filtragem de conteúdo e/ou endereços (URLs, endereços IP) Filtros de pacotes também permitem redirecionar o tráfego HTTP para um proxy 2 Filtros de pacotes 3 Filtros de pacotes com estado 4 Firewalls de aplicação 5 Proxies de aplicação 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 47 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 48 / 54

13 Problemas com firewalls Ameaças internas Ameaças internas Conectividade Laptops Evasão Firewalls pressupõem que todo mundo que está na rede interna é bonzinho Obviamente, isso não é verdade Além disso, conteúdo ativo e máquinas comprometidas (infectadas com malware, por exemplo) correspondem a maçãs podres dentro da caixa c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 49 / 54 Conectividade c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 50 / 54 Laptops Firewalls dependem da topologia Se existem muitas conexões com o exterior, é provável que alguém consiga escapar do firewall isso pode ser necessário nem sempre é possível filtrar o tráfego de todos os parceiros Uma organização de grande porte pode ter centenas ou mesmo milhares de links externos, a maior parte desconhecida dos administradores de rede até há algum tempo, era comum que funcionários ligassem seu ramal em um modem para acessar seus computadores remotamente Laptops, por definição, circulam por aí Quando eles estão fora do firewall, quem os protege? Relatos de pessoas com laptops cheios de vulnerabilidades ou malware são comuns obviamente, a rede está sempre habilitada Outra dificuldade é com laptops que entram na rede interna muitas vezes os seus computadores são bem protegidos, mas e os de seus visitantes? diversas redes são afetadas por vermes quando laptops infectados são ligados à rede interna redes sem fio tornaram o problema muito maior até o vizinho pode entrar na sua rede, de propósito ou não c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 51 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 52 / 54

14 Evasão Bibliografia Os firewalls e os administradores de firewalls tornaram-se bastante bons Algumas aplicações pararam de funcionar Os produtores de software começaram a construir coisas que rodam sobre HTTP web services e P2P, por exemplo HTTP geralmente passa por firewalls e até proxies web Tendência crescente de recorrer a inspeção e filtragem do conteúdo para determinar o que é tráfego permitido ou não muito mais difícil que usar números de portas impacto significativo no desempenho William R. Cheswick, Steven M. Bellovin e Aviel D. Rubin. Firewalls e Segurança na Internet, 2 a ed. Bookman, Capítulo 9. c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 53 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 54 / 54