Firewalls Filtragem de Pacotes

Transcrição

1 Firewalls Filtragem de Pacotes Edgard Jamhour

2 Firewalls Definição: Processo de permitir ou bloquear pacotes em uma camada arbitrária do modelo OSI, mas usualmente na camada de rede. Packet Filtering: quando o firewall opera na camada de rede Evolução: Primeira Geração: firewalls sem estado Analisa pacotes individualmente Segunda Geração: filtros com estado Retém os pacotes para coletar informações sobre uma conexão ou sessão Terceira Geração: filtros de aplicação Analisa e compreende informações da camada de aplicação

3 Filtragem de Pacotes A filtragem de pacotes utiliza informações contidas nos cabeçalhos dos protocolos HTTP Aplicação. FTP, SMTP, HTTP, Telnet, SNM, etc. Seqüência de empacotamento aplicação HTML TCP ou UDP transporte S.O. IP rede Ethernet MAC enlace NIC Ethernet PHY física

4 Camada de operação 5. Interpreta o protocolo de aplicação. O processamento não é feito por pacotes, mas sim por mensagens que podem se estender por mais de um pacote. Aplicação Sistema Operacional Transporte (UDP) Navegado Web HTTP Rede (IP) Aplicação Transporte (TCP) segmento 4. Verifica se existe conexão estabelecida na porta indicada. Se houver, disponibiliza os dados no buffer da aplicação. 3. Verifica se o IP pertence ao HOST. Se pertencer encaminha o conteúdo do pacote para o TCP ou UDP. NIC: Network Interface Card pacote Enlace (Ethernet) quadro Física (Ethernet) 2. Se o MAC corresponde a interface, gera uma interrupção para o S.O. 1. Verifica se os níveis do sinal e os limites do quadro estão corretos.

5 Camada de operação A filtragem na camada de aplicação é muito especializada e, geralmente, feita pela própria aplicação. Transporte (UDP) Navegado Web Aplicação (HTTP) Transporte (TCP) Filtragem na camada de transporte é pouco usual, mas existem soluções em Unix como TCP wrapper. Rede (IP) X C A camada IP é o local mais comum de filtragem. Além das decisões de roteamento, pacote é processado por um conjunto de regras de filtragem. Enlace (Ethernet) Física (Ethernet) Filtrar na NIC é praticamente inviável, a menos que seja um hardware especializado (firewall embedded NIC).

6 Firewalls Sem Estado Primeira geração de firewalls: A decisão sobre a passagem de um pacote considera apenas as informações contidas no próprio pacote. Utiliza usualmente apenas informações das camadas de rede e transporte. Essa simplificação permite: Tornar o firewall mais rápido. Tornar o firewall independente do protocolo transportado. Tornar o firewall independente de criptografia e tunelamento. Firewall sem estado com assinatura de dados: Procura uma sequência de bytes pré-determinada no campo de dados (assinatura). Pacotes ainda são analisados individualmente.

7 Firewalls sem Estado Primeira geração de firewalls (20 anos atrás). Desenvolvidos considerando as limitações da época. Não protegem UDP. São independentes da aplicação (analisam apenas informações de IP e Porta). Tem alto desempenho.

8 Host-based vs Network-based No software do Roteador: screening routers No sistema operacional do Host Windows Filtering Platform (WFP) Linux Netfilter Firewall no sistema operacional do Host outbound inbound Internet = Rede Insegura Roteador com Firewall

9 Firewall no S.O. (Linux Netfilter) Netfilter oferece funcionalidades básicas para NAT, Filtragem e QoS. É possível estender as funcionalidades do Netfilter através de hooks. Hooks permitem que decisão sobre um pacote (ACCEPT, DROP, STOLEN, QUEUE, REPEAT) seja tomada por funções callback.

10 Firewall no S.O. (Windows Filtering Platform). Introduzido no Windows Vista (2006/2007) Cria uma estrutura de filtragem de pacotes genérica que pode ser expandida por vendedores que criam módulos especializados para Windows Define uma API padrão para filtrar pacotes em qualquer camada do S.O. Implementa funções básicas de filtragem baseada em regras Permite estender a função de filtragem através de funções call-back, chamadas automaticamente quando uma regra é satisfeita

11 Regras de Filtragem Política de Segurança = Lista de Regras se condição satisfeita então aplicar ação ação: -permitir -bloquear -fazer log condição: - campos de cabeçalho - direção do tráfego - estado Regra 1 Regra 2 Regra 3 Regra Default

12 Algoritmo dos Firewalls sem Estado Recebe pacote Seleciona Primeira Regra OK para Passar? S Encaminhar Pacote Seleciona Proxima Regra N OK para Bloquear S Bloquear Pacote N N Última Regra? S Regra Default

13 Seqüência de Criação de Regras A seqüência na qual as regras são aplicadas pode alterar completamente o resultado da política de segurança. Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista. O deslocamento de uma regra genérica para cima anula as demais. Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino ACK permitir Out tcp interno > permitir In tcp interno 23 > permitir In tcp interno > permitir Out tcp interno 23 > negar

14 Estratégias Tudo que não é permitido é proibido Regra default é proibir Regras específicas são do tipo permitir Comum em network-based firewalls Abordagem padrão em host-based firewalls para conexões do tipo inbound (quando a máquina local recebe uma conexão) Tudo que não é proibido é permitido Regra default é permitir Regras específicas são do tipo proibir Abordagem padrão em host-based firewalls para conexões do tipo outbound (quando a máquina local faz uma conexão)

15 Bloqueio de aplicações Firewalls que não são de camada 7 analisam apenas os campos do IP, TCP, UDP e ICMP A dedução do tipo de serviço é feito indiretamente: Pelo campo protocol type do IP RFC 1700: Assigned Numbers TCP = 6, UDP = 17, ICMP = 1, etc. Pelas portas quando o tipo de protocolo for 6 ou 17 IANA: Internet Assigned Number Authority

16 Distribuição das Portas PORTAS TCP ou UDP Portas Bem conhecidas (well known ports): Geralmente usada pelos servidores de serviços padronizados. Requer privilégio de administrador Portas Registradas Geralmente usada por serviços proprietários. Portas Dinâmicas ou Privadas: Usadas pelos clientes e pelos serviços não padronizados.

17 Portas Bem Conhecidas Aplicações necessitam de privilégios de administrador para usar essas portas

18 Exemplos de portas bem conhecidas http https ssh telnet smtp dns tcp 80 tcp 443 tcp 22 tcp 23 tcp 25 udp 53

19 Portas Registradas Não exigem privilégio de administrador. Tem efeito apenas de recomendação.

20 Exemplo de Regras de Filtragem outbound inbound Regra Ação Sentido IP Origem 1 permitir outbound rede interna IP Destino 2 permitir inbound rede interna Porta Origem Porta Destino > , 443? 80,443 >1023? 3 bloquear? ACK Estado [1] O símbolo "" indica que qualquer valor é aceitável para regra.

21 Firewalls sem Estado: Problemas de Segurança São stateless: Precisam liberar todas as portas de cliente (> 1023 ) para permitir uma comunicação FTP. Apenas duas opções: Ou libera-se todas as portas ou bloqueia-se o serviço todo.

22 Problema: Spoofing de Porta Como diferenciar um ataque externo de uma resposta solicitada por um usuário interno? regra outbound: se for porta 80 de destino pode passar regra inbound: se for porta 80 de origem pode passar 80

23 TCP TCP é um protocolo orientado a conexão A máquina de estados rompe a conexão se os o protocolo TCP não for seguido corretamente.

24 Flags TCP SYN: sincroniza números de sequência ACK: o campo acknowledgement é válido FIN: fim de conexão

25 Flag ACK Uma conexão TCP sempre se inicia com o cliente enviando um pacote com o flag ACK= 0.

26 Regra de Firewall Corrigida outbound inbound Regra Ação Sentido IP Origem 1 permitir outbound rede interna IP Destino 2 permitir inbound rede interna Porta Origem Porta Destino ACK Estado > , 443 0, 1 80,443 > bloquear [1] O símbolo "" indica que qualquer valor é aceitável para regra.

27 Filtragem com Protocolo UDP Cada pacote UDP é independente é não contém informações equivalentes ao flag ACK dos pacotes.

28 Firewalls com Estado Quando o cliente requisita um serviço o Firewall armazena a porta utilizada numa tabela dinâmica, não liberando nenhuma outra porta do cliente firewall sem estado firewall com estado tabela

29 Firewall com Estado Para controlar quem inicia uma comunicação no protocolo UDP, os roteadores criar regras dinâmicas com base nas portas utilizadas Dynamic Packet Filtering UDP 1025 UDP 1025 tempo :1025 >>> : :53 >>> : :53 >>> : :53 >>> : tempo UDP 53

30 Firewall com Estado: Iptables NEW: refere-se a pacotes que criam uma nova conexão ESTABLISHED: refere-se aos pacotes trocados uma conexão já estabelecida RELATED: refere-se a pacotes relacionados a uma comunicação, mas que não fazem parte diretamente do fluxo de dados da comunicação. Por exemplo, mensagens de erro ICMP ou pacotes de criação de conexão FTP. INVALID: refere-se a pacotes que não se encaixam a nenhum dos casos anteriores, como pacotes ICMP com opções inválidas.

31 Exemplo: Linux Conntrack

32 Regras vs Interfaces (NICs) As regras de firewall geralmente são aplicadas de forma independente a cada interface. Em alguns sistemas a tabela de regras é única, mas as interfaces são campos da regra. >1023 > INTERNET /24?.?.?.? 23 Ação Interface Proto IP Origem IP Destino Porta Origem Porta Destino ESTADO accept 1 tcp /24 > N,R,E accept 2 tcp /2 23 > 1023 R,E drop New (N), Related (R), Established (E)

33 Regras vs Interfaces Alguns sistemas definem tabelas independentes para cada interface. Para evitar duplicação desnecessária de regras, geralmente controla-se apenas o sentido inbound. >1023 > INTERNET /24?.?.?.? 23 Interface 1 Ação Sentido Proto IP Origem IP Destino Porta Origem Porta Destino ESTADO accept inbound tcp /24 > N,R,E drop inbound Interface 2 Ação Sentido Proto IP Origem IP Destino Porta Origem Porta Destino ESTADO accept inbound tcp /2 23 > 1023 R,E drop inbound

34 Limite de Rule MATCH Syn-flood protection: # iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT Furtive port scanner: # iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT Ping of death: # iptables -A FORWARD -p icmp --icmp-type echorequest -m limit --limit 1/s -j ACCEPT

35 Desempenho do Filtro de Pacotes O processo de filtragem de pacotes exige que um certo processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido. Dependendo da velocidade da linha de transmissão, esse processamento pode ou não causar uma degradação do desempenho da rede. Conexão Pacotes/s (20 bytes) Tempo disponível Ciclos CPU 100 MHz 56 Kbit/s 2 Mbit/s 10 Mbit/s 100 Mbit/s 1Gbit/s ms 80 s 16 s 1.6 s 0.16 s

36 Exemplos de Hardware: Cisco ASA MB RAM, CPU Geode 500 MHz ASA 5506-X, 5506W-X, 5506H-X 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores) ASA 5508-X 8192 MB RAM, CPU Atom C2000 series 2000 MHz 1 CPU (8 cores) ASA MB RAM, CPU Pentium 4 Celeron 1600 MHz ASA 5585-X SSP MB RAM, CPU Xeon 5600 series 2400 MHz, 2 CPU (24 cores)

37 Quiz: os firewalls que vimos até agora... A. Podem bloquear um ataque de SYN flood? B. Podem evitar um ataque smurf (broadcast usando o IP da vítima como origem)? C. Podem evitar um ataque do tipo SQL injection ao site PHP da empresa? D. Podem evitar um ataque do tipo password dictionary na porta telnet de uma máquina interna? E. Pode bloquear uma tentativa de acesso na porta VNC de um servidor na rede interna? F. Pode bloquear um vírus em um anexo de um ? G. Pode impedir que usuários da rede interna tenha acesso a certos endereços IP na Internet?

38 DMZ: Demilitarized Zone Também chamada rede de perímetro Parte da rede que expõe serviços simultaneamente para a rede Interna e Externa (usualmente a internet).

39 Arquitetura DMZ Perimeter Network Uma rede adicionada entre a rede protegida e uma rede externa, com o objetivo de proporcionar uma camada a mais de segurança. Também chamada de DMZ (De-Militarized Zone). Bastion Host Um computador que precisa ser altamente protegido, pois é suscetível a sofrer ataques. O bastion host é um computador exposto simultaneamente a Internet e a rede interna.

40 Exemplo de DMZ Rede Interna Host Interno Roteador Interno Bastion Host Roteador Externo DMZ - Rede de Perímetro Internet

41 Roteador Interno (Choke Router) Protege a rede interna. Altamente restritivo. Não permite que computadores externos iniciem conversa com computadores internos. Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino Estado permitir Out... interno > N, R, E permitir In... interno > 1023 R, E negar N = New, R = Related, E = Established EXEMPLO DE REGRAS PARA O CHOKE ROUTER

42 Roteador Externo (Access Router) Não permite que computadores externos iniciem conversa com computadores internos. Permite que computadores externos iniciem conversa com computadores na DMZ. Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino Estado permitir Out... interno > 1023 N,R,E permitir In... interno > 1023 R,E permitir In... dmz > 1023 N,R,E permitir Out... dmz > 1023 N,R,E negar EXEMPLO DE REGRAS PARA O ACCESS ROUTER

43 Exemplo: DMZ in Single Box

44 DMZ com NAT Hosts Internos Com IP s Privados Rede Interna NAT Servidor Servidor HTTP/HTTPs Roteador Externo DMZ - Rede de Perímetro Internet

45 Exercício: DMZ com Proxy Configure as regras dos filtros de pacotes "I" e "E" para rede abaixo.permita que: a) hosts internos tenham acesso ao Proxy e ao serviços SMTP e POP3 na DMZ b) o proxy tenha acesso a servidores DNS, HTTP e HTTPs na Internet c) o servidor de consulte servidores DNS e troque s com outros servidores na Internet via SMTP d) os demais acessos são proibidos I DMZ E /24 rede interna PROXY (3128) SMTP (25) POP3 (110) INTERNET

46 Auxilio para Configuração do Firewall I

47 Auxílio para Configuração do Firewall E

48 Next-Generation Firewall (NGFW) Terceira geração da tecnologia de firewalls Combina as tecnologias convencionais de firewall com firewalls de aplicação utilizando deep packet inspection (DPI) Fatos: 80% dos novos tipos de ataques procuram explorar fraquezas nas aplicações Firewalls de primeira e segunda geração não conseguem bloquear pacotes de uma mesma aplicação de forma seletiva. Por exemplo: o jogo de simulação FarmVille opera na porta TCP 80. Como diferenciá-lo de um serviço HTTP?

49 NGFW vs Proxy (Gateways de Aplicação) Uma alternativa para NGFW são os gateways de aplicação. Gateways de aplicação (Proxy) são "statefull": Isto é, eles guardam o estado das conexões iniciadas pelos clientes. Alguns tipos de gateways de aplicação (Proxy) são capazes de analisar o conteúdo dos pacotes. Todavia, são dependentes da aplicação (não funcionam para aplicações desconhecidas) e tem baixo desempenho. Proxies quebram o modelo cliente-servidor

50 Application Layer Gateways Usualmente Implementados como serviços. O Gateway de Aplicação é visto pelos clientes como um Servidor. Abrem apenas a porta do cliente utilizada para fazer a conexão com o servidor.

51 Application Layer Gateway Problemas de Desempenho Quebram o esquema clienteservidor (o proxy cria uma nova conexão para cada cliente). O número de sessões no Gateway é duplicado. Cada conexão mantém um processo no Proxy.

52 NGFW: CheckPoint Stateful Inspection: tecnologia desenvolvida pela CheckPoint. Implementa o conceito de estado sem criar novas conexões no roteador. 1. Um módulo de software analisa permanentemente o conteúdo dos pacotes que atravessam o firewall. 2. As informações relevantes dos pacotes são armazenadas em tabelas dinâmicas para posterior uso. 3. A decisão quanto a passagem ou não de um pacote leva em conta o conteúdo de pacotes anteriormente trocados na mesma conexão.

53 Stateful Inspection Analisa o conteúdo dos pacotes sem quebrar o modelo cliente servidor. A informação de estado é capturada quando o pacote através o firewall e armazenadas em tabelas dinâmicas.

54 NGFW: O que podem fazer? Além das informações de portas, as informações de conteúdo também são utilizadas pelo Firewall. Normalmente, apenas os protocolos mais comuns são analisados. HTTP: Permite Filtrar: Métodos de acesso (GET, POST), URLs (".sk"), etc TAGS em HTML com referências a Applets em Java ou Objetos Active X. Download de certos tipos MIME. FTP: Permite Filtrar Comandos específicos (PUT, GET), Nomes de Arquivo Pode disparar antivirus para verificação de arquivos. SMTP: Permite criar regras de Filtragem baseadas Nos campos FROM e TO Tipo MIME Etc.

55 NGFW: O que podem fazer? Criar regras de filtragem baseados na identidade do usuário ao invés do endereço IP. O usuário pode acessar ao serviço independentemente do computada dor ou da rende em que estiver. Esta tecnologia só é possível para firewalls "Stateful pois é criar regras dinâmicamente. Três métodos são usualmente disponíveis: User Authentication (transparente) Session Autentication Mapeamento Transparente do Usuário em Endereço

56 Integração com Métodos de Autenticação User Authentication (transparente) Permite a usuário remoto acessar um serviço da rede independente do seu IP. O firewall reconhece o login do usuário analisando o conteúdo dos protocolos FTP, HTTP, TELNET e RLOGIN. Session Authentication Quando o usuário tenta acessar um serviço da rede o Firewall envia para o cliente um pedido de login (challange message). O cliente deve ter um software especial para confirmar a senha. Só então o acesso é permitido (ou negado).

57 Integração com Métodos de Autenticação Mapeamento Transparente entre Usuário e Endereço O Firewall captura mensagens DHCP enviadas para os hosts. O Firewall captura as mensagens de login trocadas entre o usuário e o servidores de domínio da rede. CHECK POINT, por exemplo, suporta as mensagens do Windows. O usuário não se loga no Firewall, o sucesso do login é identificado pelo Firewall também capturando as mensagens do servidor.