Impacto do Uso de Firewalls em Conexões TCP e UDP

Transcrição

1 Impacto do Uso de Firewalls em Conexões TCP e UDP Vicente Hercílio da Costa e Silva Andrade 1, Cláudio de Castro Monteiro 1 1 Instituto Federal de Educação, Ciência e Tecnologia do Tocantins (IFTO) Campus Palmas - TO Brazil {vicentehercilio,ccm.monteiro}@gmail.com Resumo. Os tradicionais firewalls atuam no controle de entrada e saída de dados em uma rede. Firewalls UTM, agregam várias funções em um único ponto como: gerenciamento de tráfego, servidor DNS, DHCP, Proxy e NAT. Firewalls podem causar impactos na rede, os quais precisam ser medidos e analisados. Em redes IP, Qualidade de Serviço (QoS) é um requisito fundamental para o desempenho das aplicações. Este artigo visa utilizar as variáveis de QoS atraso e jitter para medir o impacto que os firewalls IPtables e pfsense (UTM) causam em conexões TCP e UDP. Foram propostos, medidos e analisados alguns cenários. Os resultados foram comparados e pode-se concluir o impacto que firewalls causam em conexões TCP e UDP. 1. Introdução O crescente aumento do número de aplicações que fazem uso da Internet põe em prova as políticas de segurança da informação das empresas. As redes corporativas estão cada vez mais dependentes da Internet, e tem acrescido em seu tráfego o uso de dispositivos móveis. Para [Tittel, 2012], a explosão no aumento da quantidade de aplicações para dispositivos traz a tona efeitos indesejados em uma rede corporativa como: expõem os ativos a conteúdos maliciosos, consumo não desejado da banda e vazamento de dados. De acordo com [Noonan e Dubrawasky, 2006], firewalls são pontos de políticas para controle de acesso e podem ser utilizados tanto para o controle de tráfego entre redes (conhecido como firewall baseado em redes), como para proteção de dados de sistemas específicos (chamados de firewalls baseado em hosts). Os firewalls de rede são classificados nos tipos básicos abaixo: Filtro de Pacotes: Os firewalls de filtro de pacotes são a primeira linha de defesa e os mais simples. Os filtros de pacotes têm como objetivo examinar todos os pacotes que entram e saem na rede e aplicar um conjunto de regras a fim de permiti-los ou não. São os mecanismos de firewalls mais rápidos, pois não examinam o conteúdo dos pacotes, apenas o tipo, origem, destino, porta e aplicam a regra de filtragem [Fung, 2005]. Gateways a nível de circuito: São também chamados de firewalls de inspeção de estado, pois os pacotes são manipulados com base no circuito ou estado da conexão. Neste tipo, todas as conexões são monitoradas e apenas aquelas que estão atrás do firewall são aceitas e podem iniciar uma sessão. Os clientes que estão fora do firewall, não podem ver ou conectar na máquina que está protegida pelo firewall [Fung, 2005]. Gateways a nível de aplicação: Os firewalls do tipo gateway de nível de aplicação, forçam todos os clientes a fazerem uso do firewall como gateway. Logo, o firewall XVI Encoinfo Encontro de Computação e Informática do Tocantins 85

2 deverá manipular todos os protocolos que o cliente utilizar como um proxy, o que na prática pode ser uma desvantagem, pois é necessário que o firewall implemente o suporte a todos os protocolos que o cliente fizer uso. Outra desvantagem é que proxys podem ser bem lentos. Como vantagem do uso de proxys está na administração, criação de regras e auditoria de todo o tráfego dos clientes que fazer uso do gateway [Fung, 2005]. Os sistemas de firewalls provém aos administradores de redes à implementação de políticas de acesso de modo a proteger a entrada e saída de dados nas redes das corporações. Segundo [Tittel, 2012], devido ao fato de grande parte do tráfego atualmente estar em nível de aplicações web, os tradicionais firewalls de filtro de porta não conseguem bloquear ataques oriundos da camada 7. Ainda sob a ótica de [Tittel, 2012], os sistemas de firewall Unified Threat Management (UTM) consolidam todas as técnicas tradicionais de firewall bem como as de ultima geração em um único painel. Dentre os benefícios dos firewalls UTM, está a possibilidade do sistema dispor de maiores funcionalidades além do convencional filtro de pacotes que vão de servidores proxy, firewall de aplicação, NAT, analisadores de tráfego, roteadores, servidores DNS, DHCP, dentre outros serviços. Já para [Fung, 2005], sistemas UTM combinam múltiplos recursos em um único sistema, tendo como ideia a facilidade de gerenciar políticas e distribuição de recursos em uma mesma localização na rede de dados. Como recursos típicos de sistemas UTM estão: firewall, detecção e erradicação de malware, rastreamento e bloqueio de atividades suspeitas na rede. Dentre os prós da solução UTM é possível citar a redução da complexidade de distribuição de recursos de rede. Quanto aos itens desfavoráveis tem-se: Na contramação da redução da complexidade, os múltiplos recursos desejados devem ser suportados em um sistema UTM; Necessidade de muitos recursos computacionais como CPU, memória e disco. Sob a óptica de [Tanenbaum, 2003], medidas ad hoc não são mais suficientes para trazer a qualidade de serviço, devido ao crescimento do número de aplicações multimídia em rede. QoS (Quality of Service) é definido pelos quatro parâmetros principais que um fluxo exige: confiabilidade, retardo, flutuação e largura de banda. De acordo com [Martins, 1999], métricas de performance e serviços de rede são essenciais em redes IP (Internet Protocol), ex.: para gerenciamento da rede, monitoramento da rede, e garantia da qualidade de serviço. QoS (Qualidade de Serviço) é descrito como um parâmetro para a perfomance dos serviços de rede os quais provém um tipo de uso, atributos e nível de requisito por requisição do usuário. Atraso fim-a-fim, jitter, perda e vazão são medidas para aplicações que operam acima do transporte confiável e não confiável. Para [Garantla, e O. Gemikonakli, 2009], é comum que ao se incorporar firewalls na rede de dados, haja o aumento de processamento e o surgimento de pequenas aberturas e caminhos. Logo, é essencial que os efeitos de um firewall de rede sejam investigados e medidos. Os autores [Nassar, El-Sayed e Aiad 2010] demonstraram que o uso de firewalls em paralelo para requisições proxy melhorou o desempenho em uma rede, ao invés de utilizar-se de um único firewall apenas. No trabalho de [Zen 2011] é exemplificado que a presença de firewall não degrada a performance de serviços web. O que degrada é a ausência de firewall e que o maior impacto foi percebido na presença de NAT. Já para os autores [Aziz, Ibrahim, Omar, Ab Rahman, Md Zan e Yusof 2012], a implementação de firewalls na rede podem a vim degradar a performance, mas podem também melhorar, caso o firewall seja utilizado para 86 XVI Encoinfo Encontro de Computação e Informática do Tocantins

3 gerenciamento de tráfego. [Garantla e Gemikonakli 2009] também demonstram por simulações que o acréscimo de dispositivos que podem exigir mais processamento, irá aumentar o tempo de resposta do firewall. Mas caso haja firewall filtrador de tráfego indesejado, a performance pode ser melhorada consideravelmente. Para este trabalho, o objetivo geral é avaliar o impacto de firewalls em conexões TCP e UDP pela comparação das variáveis de QoS, atraso e jitter. Com relação aos objetivos específicos, tem-se em propor e montar um ambiente de testes para a aplicação da metodologia e fazer a análise comparativa das variáveis atraso e jitter (métricas de QoS). Para isto este trabalho segue divido nas seguintes seções: Proposta, Metodologia, Resultados e Discussão e Conclusão. 2. Proposta A proposta deste artigo visa avaliar o impacto de firewalls em conexões TCP e UDP pela comparação estatística das variáveis atraso e jitter (QoS). De modo que se pode inferir estatisticamente o impacto que serviços adicionados a sistemas de firewall UTM podem causar a conexões TCP e UDP. Figura 1 - Diagrama de sequência da arquitetura geral de comunicação proposta para os testes com firewalls. A Figura 1 demonstra a arquitetura geral em notação de diagrama de sequência na linguagem UML, proposta para os testes comparativos. Uma máquina cliente foi utilizada para o envio de pacotes FTP e medição do atraso e jitter. Os pacotes FTP são enviados a um servidor destino passando por um firewall de rede que ora estará com as funções Roteador, Filtro de Pacotes e NAT habilitado ou desabilitado e em cenários diferentes. Ao término do envio dos arquivos, a conexão e medição são encerradas. XVI Encoinfo Encontro de Computação e Informática do Tocantins 87

4 3. Metodologia A partir dos trabalhos realizados na etapa de revisão bibliográfica (revisão sistemática), foi possível um melhor entendimento das metodologias adotada na realização de testes de performance e métricas comparativas para dispositivos de firewall. Para medir as variáveis de QoS em questão (atraso e jitter) em conexões TCP e UDP, foi utilizado um script específico para automatizar o envio de dados do emissor ao receptor, passando pelo gateway, e obteve-se os tempos de envio e recebimento, bem como as variações destes. Estes dados obtidos foram analisados estatisticamente, e pôde-se assim inferir o impacto de determinados serviços adicionados a um firewall. Figura 2 - Arquitetura geral proposta para os testes. A ideia geral utilizada em todos os ambientes (figura 2) foi gerar tráfego, medir o atraso e a variação deste, a partir de uma pré-amostra, um determinado erro máximo, um nível de confiança de 95 por cento, obter a amostra (número mínimo de testes) e compará-los. As variações da arquitetura geral proposta para os testes (Figura 1), bem como as suas respectivas descrições, foram relacionadas no quadro 1. Quadro 1 - Descrição dos cenários utilizados nos firewalls. Firewalls Item Cenários IPTables pfsense Descrição 1 Modo roteador x X Firewall trabalhando apenas no modo de roteamento de pacotes. 2 regras de filtro de pacotes x X Firewall trabalhando no modo de roteamento e filtro de pacotes. 3 NAT x - Firewall trabalhando no modo de roteamento de pacotes e NAT. 4 Modo roteador, regras de filtro de pacotes e NAT x X Firewall trabalhando no modo de roteamento, filtro de pacotes e NAT. 88 XVI Encoinfo Encontro de Computação e Informática do Tocantins

5 Neste trabalho, a experimentação consistiu em utilizar os firewall IPTables e pfsense, entre duas redes com três interfaces configuradas e ativas: eth0 a WAN, eth0:1 a LAN1 e eth0:2 a LAN 2. Ora foram desativadas e ativadas no firewall a função de filtro de pacotes, roteador e NAT. A máquina cliente da rede 02 disparou pacotes FTP (upload de arquivos) via script para um servidor na rede 01 passando pelo roteador. Ao término do envio dos N arquivos, um relatório com a média dos tempos de transmissão e jitter, desvio padrão e tamanho mínimo das amostras foram exibidos em tela. As redes que foram segmentadas utilizaram os seguintes endereçamentos IP: Rede /30; Rede /30. Quanto às redes do roteador foram: /30; /30; IP da WAN na interface de saída da máquina física do laboratório. O ambiente foi montado em uma máquina física cuja configuração era: Processador Intel Core i CPU 3.20 Ghz, Disco Rígido de 1 TB, Memória RAM de 8 GB, Sistema Operacional Windows 7 Professional 64 bits SP1. Não houve a separação física entre as redes, pois foram criadas e utilizadas máquinas virtuais (guests) com o software VMware Player 6.0.3, todas no mesmo hardware (host) e conectadas à rede local. O que houve, foi apenas a separação lógica com o uso de endereços de redes diferentes, de modo a segmentar o tráfego entre redes. As descrições para os materiais de hardware utilizados na experimentação foram relacionadas no quadro 2. Quadro 2 - Quantitativo e descrição do hardware utilizado. Item Quantidade Descrição 1 01 (um) Computador com 01 interface de rede cabeada (10/100/1000). Dispositivo para host das máquinas virtuais (um) Máquina virtual com Sistema Operacional Debian 7.0.5, 512 MB de RAM, 15 GB de Disco Rígido e 01 interface de rede 10/100/1000. Para funções de roteamento/firewall/nat/proxy. Dispositivo para a geração de tráfego FTP; 3 01 (um) Máquina virtual com Sistema Operacional Debian 7.0.5, 512 MB de RAM, 15 GB de Disco Rígido e 01 interface de rede 10/100/1000. Dispositivo para a função de servidor de arquivos FTP (um) Máquina virtual com Sistema Operacional Debian 7.0.5, 512 MB de RAM, 15 GB de Disco Rígido e 01 interface de rede 10/100/1000. Dispositivo para a função de cliente desktop (um) Link de saída para a Internet. Foram aproveitadas as funções existentes no script qos.py, apresentado em sala de aula na disciplina de Laboratório de Redes de Computadores. O script basicamente realizava os cálculos da média dos tempos, desvio padrão e tamanho mínimo da amostra/quantidade de testes. As variáveis de QoS medidas foram o tempo de transmissão (atraso) e a variação deste (jitter). O atraso consiste no retorno do calculo do tempo inicial e final na transmissão de um arquivo entre origem e destino em uma rede de dados. Enquanto o jitter é a variação deste XVI Encoinfo Encontro de Computação e Informática do Tocantins 89

6 atraso. Como servidor FTP, foi utilizado o VSFTPD bem como novas bibliotecas foram importadas ao script python para a captura dos tempos e conexão do cliente com o servidor FTP (biblioteca ftplib). Quanto aos softwares e seus componentes, estes estão relacionados no quadro 3. Quadro 3 - Quantitativo descrição e versão dos softwares e sistemas utilizados. Item Quantidade Descrição 1 03 (um) Software de virtualização VMware Player (um) Sistema Operacional Linux Debian (um) Sistema Operacional Windows 7 Professional 64 bis c/ Service Pack (um) Firewall Iptables versão (incluso no kernel da distribuição Debian 7.0.5); 5 01 (um) Firewall pfsense VMware Appliance (2.1.4-RELEASE (i386) built on Fri Jun 20 12:59:29 EDT 2014 FreeBSD 8.3-RELEASE-p16) 6 01 (um) Aplicação VSFTPD versão Resultados e Discussão Os resultados foram obtidos em um ambiente onde se tomou como constante uma pré-amostra de 30 testes, um erro de 0,002 segundos para o atraso e jitter e um nível de confiança de 95 por cento. Quadro 4 - Resultado dos testes de transmissão de arquivos via protocolo FTP no firewall IPTables e cenários testados. Intervalo de Confiança Cenários Modo roteador regras de filtro de pacotes NAT Modo roteador, regras de filtro de pacotes e NAT Médias Desvios Padrões Tamanho das amostras (uni.) Margem Limite inferior Limite Superior atraso 0, , , , , jitter 0, , , , , atraso 0, , , , , jitter 0, , , , , atraso 0, , , , , jitter 0, , , , , atraso 0, , , ,3502 0,35418 jitter 0, , , , , No quadro 4, constam os valores referentes à coleta dos dados das variáveis atraso e jitter na transmissão de arquivos via protocolo FTP com o firewall IPTables nos cenários descritos. As maiores médias de atrasos e jitters foram percebidas nos cenários em que o firewall estava ausente ou quando houve o acréscimo de NAT, o mesmo pode ser entendido 90 XVI Encoinfo Encontro de Computação e Informática do Tocantins

7 para as demais variáveis estatísticas desvio padrão e tamanho das amostras. Os limites inferiores e superiores dos intervalos de confiança representam o intervalo em que as médias de atraso e jitter irão variar com um índice de confiança de 95% e respectivos tamanhos das amostras. Quadro 5 - Resultado dos testes de transmissão de arquivos via protocolo FTP no firewall pfsense e cenários testados. Intervalo de Confiança Cenários Modo roteador regras de filtro de pacotes NAT Modo roteador, regras de filtro de pacotes e NAT Médias Desvios Padrões Tamanho das amostras (uni.) Margem Limite inferior Limite Superior atraso 0, , , , , jitter 0, , , , , atraso 0, , , , , jitter 0, , , , , atraso jitter atraso 0, , , , , jitter 0, , , , , No quadro 5 constam os valores referentes à coleta dos dados das variáveis atraso e jitter na transmissão de arquivos via protocolo FTP com o firewall pfsense nos cenários descritos. As maiores médias de atrasos e jitters foram percebidas nos cenários em que o firewall estava ausente ou quando houve o acréscimo de NAT. O mesmo pode ser entendido para as demais variáveis estatísticas desvio padrão e tamanho das amostras. O comportamento é semelhante ao firewall IPTables, porém com valores maiores. Tal comportamento pode ser explicado devido aos recursos adicionais que o sistema de firewall UTM pfsense dispõe, como: interface web para gerenciamento, encaminhadores DNS e monitores de gateway, os quais estavam em funcionamento por padrão. É importante salientar que no firewall pfsense ao desativar o filtro de pacotes, o NAT também é desabilitado. Sendo assim, não foi possível testar o cenário NAT. A política padrão do firewall pfsense com filtro de pacotes ativado é de bloquear todo o tráfego, logo para liberar o tráfego necessário para os testes, foram ativadas 4 (quatro) regras de firewall nas interfaces LAN e LAN2. Os limites inferiores e superiores dos intervalos de confiança representam o intervalo em que as médias de atraso e jitter irão variar com um índice de confiança de 95% e respectivos tamanhos das amostras. XVI Encoinfo Encontro de Computação e Informática do Tocantins 91

8 Quadro 6 Porcentagem de variação para mais entre a variável atraso nos testes de transmissão de arquivos via protocolo FTP com os firewalls Iptables e pfsense. Atraso (média em ms) Cenários Iptables pfsense Porcetagem de variação entre Iptables e pfsense Modo roteador 0, , % regras de filtro de 0, , % pacotes NAT 0, Modo roteador, regras de filtro de pacotes e NAT 0, , % Tanto no sistema pfsense quanto IPTables, a ausência de firewall na rede (cenário Modo roteador) acarretou em uma maior demora e variação do tempo de entrega dos pacotes com atrasos de ms no IPTables e 0,44343 ms no pfsense, uma variação de cerca de 47% para mais entre os dois sistemas (quadro 6). No cenário regras de filtro de pacotes, percebeu-se que também houve a maior variação em percentual do atraso, cerca de 60% com relação aos sistemas IPTables e pfsense. 5. Conclusão Os cenários que apresentaram um menor jitter, obtiveram em geral uma entrega mais rápida dos arquivos via protocolo FTP na rede. A partir dos experimentos, foi possível também verificar que quanto menor o jitter, menor foram os resultados para as variáveis estatísticas. Então, dentre os três cenários comparados para os firewals IPTables e pfsense, o melhor foi regras de filtro de pacotes com médias de jitter de ms para o IPTables e 0, ms para o pfsense. Logo, as condições de transmissão adotadas nos experimentos para os firewalls IPTables e pfsense foram mais favoráveis para o envio de arquivos FTP em conexões TCP e UDP quando houve firewall UTM em filtro de pacotes ativados. Também foi possível concluir que o firewall UTM pfsense possui significativo impacto nas conexões TCP e UDP comparado ao firewall IPTables, dada as diferenças percentuais para mais entre os valores coletados na pré-amostra (quadro 6). Outro fato observado a partir da tentativa de configuração pela interface web, foi que o sistema de firewall UTM pfsense não pode ser testado no Modo NAT e roteador. Uma vez que ao se desabilitar o filtro de pacotes, o NAT também é desativado e a plataforma passa a funcionar apenas como um roteador de pacotes. Referências Aziz, M., Ibrahim, M., Omar, A., Ab Rahman, R., Md Zan, M., e Yusof, M. (2012). Performance analysis of application layer firewall. In Wireless Technology and Applications (ISWTA), 2012 IEEE Symposium on, pages Nassar, S., El-Sayed, A., e Aiad, N. (2010). Improve the network performance by using parallel firewalls. In Networked Computing (INC), th International Conference on, pages 1 5. Tanenbaum, A. S. (2003). Redes de Computadores. Pearson, São Paulo, trad. 4 ed.edition. 92 XVI Encoinfo Encontro de Computação e Informática do Tocantins

9 Tittel, E. (2012). Unified Threat Management for dummies. Hoboken, New Jersey. Zen, J. L. (2011). O impacto dos serviços de NAT e Firewall no atendimento das requisições web. In 9 Amostra Acadêmica UNIMEP, Piracicaba, Brasil. NOONAN, Wesley J; DUBRAWSKY, Ido. Firewall Fundamentals: An introduction to network and computer firewall security. Indianapolis: Cisco Press, FUNG, Kwok T.. Network Security Technologies. 2. ed. Boca Raton: Crc Press Llc, SACARFONE, Karen; HOFFMAN, Paul. Guidelines on Firewalls and Firewall Policy: Recommendations of the National Institute of Standards and Technology. Gaithesburg: National Institute Of Standards And Technology, p. H. Garantla, and O. Gemikonakli, "Evaluation of Firewall Effects on Network Performance," School of Engineering and Information Sciences, Middlesex University, London, MARTINS, Joberto. Qualidade de Serviço (QoS) em Redes IP Princípios Básicos, Parâmetros e Mecanismos. Vol XVI Encoinfo Encontro de Computação e Informática do Tocantins 93