Projeto para Implementação de Firewalls

Transcrição

1 FACULDADE IBTA PÓS GRADUAÇÃO EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO GIULIANO GONÇALEZ BALDI LEONARDO CHEN ANTUNES MAURICIO FERNANDO LOPES RICARDO PCHEVUZINSKE KATZ RODRIGO DOS REIS MARTINS Projeto para Implementação de Firewalls São Paulo 2009

2 FACULDADE IBTA PÓS GRADUAÇÃO EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO GIULIANO GONÇALEZ BALDI LEONARDO CHEN ANTUNES MAURICIO FERNANDO LOPES RICARDO PCHEVUZINSKE KATZ RODRIGO DOS REIS MARTINS Projeto para Implementação de Firewalls Trabalho sobre a segurança em sistemas Firewalls, exigidas pela disciplina de Firewalls. São Paulo 2009

3 3 Sumário Introdução ) Projeto ) Definições ) Modelos de Firewalls ) Entendimento dos Acessos ) Layout da Rede e Considerações...9 3) Aplicação das Regras ) Segurança via Kernel Conclusão Referências... 13

4 4 Introdução Como qualquer área, a Informática também necessita de segurança. Um dos principais elementos e artifícios utilizados com freqüência nas empresas para esta finalidade é chamado de Firewall. Até por isso, um conceito errôneo sobre Firewall é divulgado por várias pessoas, onde freqüentemente fazem a analogia: Firewall é Segurança, ou vice versa. Salienta-se antecipadamente que Firewall é um elemento importantíssimo nesse quesito, mas não se resume apenas nele. Vários itens de segurança devem ser aplicados para que não só um sistema fique seguro, mas que o ambiente de forma geral alcance um nível almejado. Abordaremos alguns conceitos nas próximas seções deste trabalho.

5 5 1) Projeto Este projeto foi solicitado como parte da avaliação da matéria de Firewalls, ministrado aos alunos da Pós Graduação do IBTA. Neste projeto [3], foi solicitado o entendimento de uma solicitação de uma empresa de móveis, a qual necessita disponibilizar dados e interagir com seus clientes, funcionários e fornecedores com segurança. Desta forma, partiu-se do principio que somente o necessário será exposto as partes envolvidas no processo e o restante será automaticamente bloqueado pelas políticas de firewall ora desenvolvidas. Maiores detalhes serão expostos nas seções seguintes. 2) Definições Por definição [1], Firewall é um dispositivo constituído pela combinação de hardware e software, utilizado para controlar o acesso entre redes de computadores. Desta maneira, este projeto consiste em utilizar tal dispositivo para segmentar as diversas redes existentes na empresa de móveis a qual necessita interagir com suas lojas, centro de distribuição, fornecedores, consumidores advindos da internet e obviamente por sua própria rede interna. Todos os serviços devem ser acessados de forma correta e estritamente necessária. Assim sendo, todos os acessos devem ser devidamente mapeados, de maneira que sejam autorizados ou não, de acordo com a situação a qual cada solicitação se enquadre naquele exato momento. Em outras palavras, para se autorizar ou bloquear uma solicitação de conexão aos ativos da empresa é necessário saber:

6 6 Hosts (Origens e Destinos); Portas (Origens e Destinos); Estado das conexões (Novas ou Estabelecidas). Mais adiante, um diagrama com as redes envolvidas no projeto serão demonstradas graficamente, fornecendo um melhor entendimento e, posteriormente, as respectivas regras de firewall criadas especificamente para garantir que somente os acessos vindos de fontes confiáveis serão permitidos. 2.1) Modelos de Firewalls Antes de qualquer executar qualquer projeto para implementação de Firewalls, é preciso saber o que será protegido, do que será protegido, se necessitarão de logs, se terá interação com base de usuários ou qualquer outra particularidade que se apresentar. Atualmente, várias opções podem ser oferecidas, e cada uma pode ser mais adequada que outras, desde recursos disponíveis ou até mesmo ao preço ofertados pelos respectivos fabricantes. Alguns diferenciais: Suporte a maior quantidade de protocolos, Alta Disponibilidade, Controle de Banda (QoS), StateFull, etc. Existem produtos gratuitos, disponibilizados diretamente na internet e mantidos pela comunidade, chamados de OpenSource a qual podemos citar: IPTables (Linux), PF (OpenBSD), IPFW (FreeBSD), Squid etc. E, alguns outros são proprietários, a qual podemos citar: ISA Server (Microsoft), CheckPoint (CheckPoint), PIX/ASA (Cisco) etc. Mas, dentre produtos, fabricantes e qualidades (diferenciais) é necessário definir um perfil de Firewall [2,3] a qual poderá ser mais adequado, como:

7 7 Proxy: Tem por objetivo receber requisições de acesso de usuários, consultar as regras e, caso autorizado, intermediar o acesso ao destino. Assim que a requisição retorna ao dispositivo, é automaticamente retornada ao usuário a qual solicitou originalmente o acesso; Filtro de Pacotes (StateLess): Tem por objetivo receber requisições de acessos vindos de endereços e portas específicos, e, caso autorizado, estabelecer um túnel entre ambas as partes. Toda a orientação é feita baseada em hosts (endereços ips) e portas. Filtro de Pacotes (StateFull): Semelhante ao StateLess, este também tem por objetivo receber requisições de acessos vindos de endereços e portas específicos, e, caso autorizado, estabelecer um túnel entre ambas as partes. Mas, neste caso, toda a orientação é feita baseada em hosts (endereços ips), portas e estados, sendo capaz de diferenciar uma conexão sendo nova ou já estabelecida anteriormente. Extremamente útil quando trabalhada com políticas e regras mais restritivas. Filtro de Aplicações: Da mesma forma que os demais já citados anteriormente, tem o objetivo de autorizar ou negar conexões vindas da rede. Mas, o diferencial neste caso é que a partir deste modelo é possível agir na camada de aplicação (Camada 7, modelo OSI), não levando somente hosts (origens e destinos) e portas, e sim conteúdo dos pacotes. Para aplicações Web, um projeto por nome ModSecurity [4] tem o objetivo de proteger ataques contra WebServers (Apache [5]). Um outro conceito utilizado na implementação deste projeto foi DMZ [6] (ou Zona Desmilitarizada), a qual tem por objetivo separar fisicamente 2 ou mais redes entre si, evitando trazer qualquer risco para as demais caso esta(s) seja(m) comprometida(s).

8 8 Neste trabalho utilizou-se deste conceito para prover serviços de DNS, ERP, WWW, FTP etc, ao passo que, conforme já citado, caso um destes serviços forem comprometidos nenhum outro segmento da rede será afetado. 2.2) Entendimento dos Acessos Para a finalização do projeto, incluindo o layout das redes e definição dos acessos, algumas regras de Firewall foram desenhadas com o objetivo de permitir estritamente acessos necessários, conforme a solicitação inicial. Assim sendo, uma tabela com algumas informações necessárias como redes, hosts e portas, foi disponibilizado da seguinte forma: Site Rede Gateway Observação Centro de Distribuição (CD) / Acessará o BD da Matriz através da porta Fornecedores X.Y/ X.Y O endereço de cada fornecedor variará, bem como o respectivo gateway. Os Fornecedores acessarão o FTP da matriz através das portas 20 e 21. Matriz (DMZ) / Os servidores dispostos neste segmento não acessarão hosts externos, somente retornarão solicitações, com exceção do Proxy. Matriz (Interna) / Acessará todos os hosts da DMZ. Acessos para sites web serão feitos a partir do Proxy, disponibilizado na DMZ. Loja X X /24 X Cada rede de loja variará de acordo com sua identificação. Internet 0/ A rede da internet não poderá ser prevista. Assume-se any. Hosts da internet terão acesso aos servidores da DMZ: DNS e

9 9 2.3) Layout da Rede e Considerações Abaixo, um diagrama foi definido com o objetivo de representar graficamente a topologia sugerida neste projeto. Sendo assim, algumas considerações foram importantes: O acesso vindo dos Fornecedores destinado ao serviço de FTP foi definido por VPN, uma vez que o protocolo não é criptografado; O WAF (Web Application Firewall) foi mantido na DMZ que, apesar de estar na mesma rede, todo o tráfego HTTP e HTTPS aos servidores WEB e ERP serão filtrados primeiramente pelo dispositivo e, caso uma solicitação for autorizada,esta será repassada às respectivas máquinas. Tal máquina recebeu o IP ; No demais, as características restantes já haviam sido especificadas na própria definição do trabalho/projeto, não tendo nada a inovar.

10 10 3) Aplicação das Regras Conforme já citado anteriormente, todas as regras foram criadas o mais restritas possível, no intuito de não permitir que acessos não autorizados sejam concluídos com sucesso. Assim, tais regras serão apresentadas, conforme segue: Interface de Entrada Interface de Saída Portas Origem Destino Finalidade Protocolo eth4 eth / PROXY/Matriz Todos Todas eth1 80,443 0/ (*) WEB/All Todos eth2 eth1 80, / (*) ERP/Loja01 Todos eth2 eth1 80, / (*) ERP/Loja02 Todos eth2 eth1 80, / (*) ERP/Loja03 Todos eth2 eth1 80, / (*) ERP/Loja04 Todos eth2 eth1 80, / (*) ERP/Loja05 Todos eth2 eth1 80, / (*) ERP/Loja06 Todos eth2 eth1 80, / (*) ERP/Loja07 Todos eth2 eth1 80, / (*) ERP/Loja08 Todos eth2 eth1 80, / (*) ERP/Loja09 Todos eth2 eth1 80, / (*) ERP/Loja10 Todos eth3 eth / BD/CD Todos tun+ eth1 20, / FTP/Fornec. Todos Todas eth1 53 0/ DNS/All Todos (*) WAF Ressalta-se, entretanto, que todas as regras acima aceitarão as conexões caso coincidam. Caso não, a conexão automaticamente será bloqueada, levando em conta que a política padrão do Firewall definido neste projeto é DROP. 4) Segurança via Kernel Como já citado anteriormente, durante o processo de hardening é necessário ter em mente que apenas o firewall de borda na rede não traduz segurança.

11 11 Assim sendo, alguns outros itens foram pesquisados, testados e citados neste documento no intuito de trazer conhecimentos necessários para aprimorar a segurança do Firewall em si, como evitar ataques do tipo: DoS e Spoofing. Tais itens variam a forma de aplicação de sistema para sistema, mas neste caso foram devidamente implementados no GNU/Linux, conforme abaixo: ############################################################ ########## Enabling some kernel protections ################ ############################################################ if [ -f "/proc/sys/net/ipv4/tcp_timestamp" ]; then echo "0" > /proc/sys/net/ipv4/tcp_timestamp else echo "0" > /proc/sys/net/ipv4/tcp_timestamps fi echo "1" > /proc/sys/net/ipv4/tcp_syncookies echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo "128" > /proc/sys/net/ipv4/ip_default_ttl echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all for i in /proc/sys/net/ipv4/conf/*; do echo "0" > $i/accept_redirects echo "0" > $i/accept_source_route echo "1" > $i/log_martians echo "1" > $i/rp_filter; done ############################################################

12 12 Conclusão Com o avanço da tecnologia, sistemas e sistemas são desenvolvidos e customizados diariamente para que o trabalho manual seja poupado. Mais que isso, a resposta das informações armazenadas em tais sistemas são obtidas de forma instantânea, com valores e status informados com precisão. Mas, ao fim deste trabalho, notou-se a importância da obtenção de dispositivos de firewall no ambiente informático da empresa, bem como respectivas regras. Tais regras visam autorizar ou negar acessos aos ativos desta. Um Firewall é importante também em casos onde existem vulnerabilidades que não podem ser corrigidas de imediato, e ao mesmo tempo obviamente não podem ser mitigadas do ambiente em curto prazo. Desta forma, cria-se então regras que somente um ativo ou um grupo de ativos tenham acesso a este, reduzindo a probabilidade da ameaça daquele sistema ou serviço em específico. Assim sendo, mostra-se quão importante é criar regras especificas, altamente selecionadas e analisadas para que não autorizem mais do que necessário.

13 13 Referências [1] Cartilha CERT-BR (Acessado em 22/11/2009, às 15h); [2] Wikipédia (Acessado em 22/11/2009, às 17h); [3] Material das aulas de Firewall (IBTA/2009); [4] ModSecurity (Acessado em 22/11/2009, às 17h30); [5] Apache Software Foundation (Acessado em 22/11/2009, às 17h30); [6] Wikipédia (Acessado em 22/11/2009, às 17h30);