Criptografia e Segurança das Comunicações. Firewalls

Criptografia e Segurança das Comunicações Firewalls Firewalls : 1/35 Introdução [Def]: Firewall é um dispositivo (SW, HW, ou ambos) que limita acessos por rede (Internet), a uma outra rede de um ou mais computadores (a proteger). Não protege contra copia por outros meios (diskette, ), nem contra tunneling de aplicações avançadas!!! Etapas a seguir na configuração de uma firewall 1. Determinar quais os servidores dentro da rede interna que podem ser acedidos do exterior e quais os serviços (ssh, WWW, Email, ) a disponibilizar ao exterior. 2. Configurar a firewall de forma o mais restrita possível. Firewalls : 2/35

História (1) Curiosidade, não faz parte da avaliação Linux disponibiliza subsistema de gestão de uma firewall, o netfilter (http://www.netfilter.org). A administração é feita por comandos ao servidor firewall ipfw adaptado do BSD (1994, Kernel 1.1) ipfwadm (Kernel 2.0.x; RH 5.x) ipchains (1998, Kernel 2.2.x; RH 6.x,7.0) iptables (1999, a partir do Kernel 2.4.x; RH 7.1-9.0) versão mais recente: iptables-1.3.7, dezembro 2006 O iptables está incorporado no núcleo do Linux ( kernel ), ao contrário do ipchains. Windows XP instala automaticamente uma firewall no SP2 (nota: talvez a melhor contribuição da Microsoft para a segurança). Firewalls : 3/35 História (2) Curiosidade, não faz parte da avaliação Neste módulo descreve-se o iptables Equipamento: PC de recursos limitados CPU: 486 ou posterior RAM: 16MB placas Internet: 2 (uma para a rede exterior, outro para a rede interior-lan) Filtragem pode ser exercida em: flags determinadas do TCP (anteriormente, apenas no SYN) endereços IP 1 ou MAC 2 (anteriormente, apenas IP) em simultâneo a vários portos. 1-32 bits (IPv4) ou 128 bis (IPv6) 2-48 bits Firewalls : 4/35

História (3) Curiosidade, não faz parte da avaliação O daemon iptables é manipulado pelo administrador ( root ) através do comando /sbin/service iptables opcao start (arranque) stop (paragem) restart (reinicio) Para que a firewall seja lançada automaticamente no boot-up do sistema operativo Linux, executar /sbin/chkconfig iptables on Configuração no arranque, no Linux-RH, estabelecida no ficheiro/etc/sysconfig/iptables (se existir). Firewalls : 5/35 Arquitectura (1) Servidores Internet Firewall exterior DMZ-zona desmilitarizada Firewall interior Estação de trabalho Impressora Firewalls : 6/35

Arquitectura (2) Os pacotes IP passam, na firewall, por uma estrutura de 5 cadeias ( chains ), denominada kernelspace structure. Internet Para conversão de endereços (NAT) FIREWALL Pré-encaminhamento (PREROUTING) Re-encaminhamento (FORWARD) Pós-encaminhamento (POSTROUTING) Entrada (INPUT) Saída (OUTPUT) Processos da rede local Firewalls : 7/35 Interligação rede local-internet (1) A máquina que faz a interface entre a rede local (LAN) e a Internet possui duas placas de rede, de nomes eth0 (tipicamente na Internet) e eth1 (tipicamente na rede local). A configuração das placas é feita pelo comando /sbin/ifconfig placa Para redes locais privadas, o RFC1918 define 256 classes C contíguas 192.168.0.0 192.168.255.255. Nota: o endereço privado da firewall constitui o endereço gateway da rede local. Firewalls : 8/35

Interligação rede local-internet (2) >ifconfig eth0 Endereço IP eth0 Link encap:ethernet HWaddr 00:4F:4E:06:CE:0E Protocolo inet addr:193.136.143.74 Bcast:193.136.143.255 Mask:255.255.255.0 Activação UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:41503800 errors:1 dropped:0 overruns:0 frame:0 Dimensão máxima TX packets:45717229 errors:0 dropped:0 overruns:4 carrier:0 trama IP Estatísticas collisions:0 txqueuelen:1000 RX bytes:354382963 (337.9 MiB) TX bytes:748467788 (713.7 MiB) Interrupt:9 Base address:0xd800 >ifconfig eth1 eth1 Link encap:ethernet HWaddr 00:4F:4E:03:30:C5 inet addr:192.168.2.254 Bcast:192.168.2.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:46850565 errors:1 dropped:0 overruns:0 frame:0 TX packets:39746212 errors:0 dropped:0 overruns:3 carrier:0 collisions:0 txqueuelen:1000 RX bytes:889743091 (848.5 MiB) TX bytes:264259878 (252.0 MiB) Interrupt:5 Base address:0xd400 Firewalls : 9/35 Interligação rede local-internet (3) A rede local é interligada à Internet por dois modos: A. Rede local pública A rede local faz parte da Internet, com endereços válidos. As tramas IP podem ser trocadas entre os computadores da rede local e da Internet sem tratamento. B. Rede local privada (a mais usada) Os computadores da rede local possuem endereços especiais. A firwall reescreve os cabeçalhos que por ela passam. Firewalls : 10/35

Níveis de filtragem (1) A filtragem de pacotes pode ser exercida a 3 níveis: A. Rede (ou bridge ): decisão baseada nos endereços fonte/destino e portos Combate roubo de endereços IP de fora. Cavalo de tróia, que abre porto não autorizado no firewall, não consegue comunicar com o seu controlador. B. Filtragem dinâmica de Rede: alterações bruscas de tráfego levam ao corte do acesso, até retornar a valores aceitáveis. C. Aplicação (ou NAT- Network Address Translation ): todos os endereços de dentro são convertidos para o endereço da firewall, tornado a rede interna invisível ao exterior. Possibilita igualmente transladação de portos. Nota: o IPv6 torna obrigatório o IPSEC em todos os nós, eliminando a necessidade do NAT. Firewalls : 11/35 Níveis de filtragem (2) A filtragem é guiada por tabelas 1 com regras ordenadas. Cada regra é formada por duas partes: emparelhamento e alvo. Se o pacote não emparelhar com uma regra, é submetido à regra seguinte. Se não emparelhar na segunda regra, a regra seguinte é indicada pelo alvo: ACCEPT: deixa passar DROP: não passa REJECT: não passa, com mensagem de erro DNAT (SNAT): reescreve endereço de destino (fonte) MASQUERADE: reescreve endereço fonte (por omissão, a interface), usado frequentemente para alterar os portos fonte RETURN: continua na regra seguinte 1 mais precisamente, uma fila ( queue ) Firewalls : 12/35

Níveis de filtragem (3) Existem 3 tipos de tabelas para manipular pacotes, seleccionadas pela opção table ttt filter (omissão), com regras para INPUT (filtragem de pacotes entrados na firewall ), FORWARD (filtragem de pacotes redireccionados para servidores protegidos pela firewall ), OUTPUT (filtragem de pacotes gerados localmente, para fora) nat (para criar novas conexões), com regras para PREROUTING (alterar pacotes à chegada), OUTPUT (pacotes gerados localmente antes de direccionados), POSTROUTING (pacotes alterados antes do envio para a Internet) mangle (para alterações especializadas) Firewalls : 13/35 Níveis de filtragem (4) Internet Tabela mange PREROUTING Tabela nat PREROUTING Encaminhamento Tabela nat POSTROUTING Sim Tabela mange INPUT Para Firewall? Não Tabela mange FORWARD Tabela mangle POSTROUTING Tabela filter INPUT Tabela filter FORWARD Tabela filter OUTPUT Tabela nat OUTPUT Tabela mange OUTPUT Resposta Firewall Processamento local Encaminhamento Tabela mange POSTROUTING Tabela NAT POSTROUTING Internet Firewalls : 14/35

Calibragem de tráfego Curiosidade, não faz parte da avaliação O comando /sbin/tc permite definir classes, onde são alocadas capacidades de tráfego. A cada classe é atribuída uma disciplina - a mais divulgada é o HTB ( Hierarchy Token Bucket ). # tc qdisc add dev eth0 root handle 1:0 htb default 40 # tc class add dev eth0 parent 1:0 classid 1:1 htb rate 100mbit # tc class add dev eth0 parent 1:1 classid 1:10 htb rate 100kbit ceil 300kbit prio 0 No iptables, o encaminhamendo dos pacotes pelas classes é configurado com a directiva -set-class # iptables -t mangle -A FORWARD -p udp -m multiport --ports 53 -j CLASSIFY --set-class 1:10 NOTA: Tema para seminário Firewalls : 15/35 Regras (1) Sintaxe das regras iptables [-t tabela] opções alvo/salto Opções mais importantes no iptables Acção -A adicionar regra no fim da cadeia -I posição inserir regra numa posição da cadeia -D remover regra anterior -F apagar todas as regras, enviadas para um ficheiro (se existir) -N nome iniciar nova cadeia, designada nome -P política por omissão Firewalls : 16/35

Regras (2) Salto (-j) alvo ACCEPT aceita pacote REJECT rejeita pacote e envia mensagem de erro ICMP DROP rejeita pacote sem envio de mensagem ICMP MASQ mascaramento RETURN finaliza cadeia Interface -i id carta por onde pacote entra -o id carta por onde pacote sai Protocolo -p prot tcp, udp, icmp ouall Firewalls : 17/35 Regras (3) Portos --sport gama porto de origem --dport gama porto de destino --syn pedido de estabelecimento de conexão --icmp tipo eco, os tipos pode ser echorequest:pedido, echo-reply:resposta Endereços -s IPaddr[/máscara] fonte -d IPaddr[/máscara] destino Nota 0/0 significa qualquer endereço Firewalls : 18/35

Regras (4) Estado do pacote (necessário móduloip_conntrack) -m --state estado NEW: pacote iniciou nova conexão, ou associado a conexão que ainda não levou pacotes para os dois lados. ESTABLISHED: pacote associado a conexão que já levou pacotes para os dois lados. INVALID: pacote não é associado a uma conexão. RELATED: pacote está a iniciar nova conexão, mas é associado a uma conexão existente (ex: transferência FTP). Iniciado de dentro NEW ESTABLISHED RELATED NEW Internet drop Firewalls : 19/35 Endereços (1) Os endereços podem ser expressos em diversas formas: 1. Nome lógico, resolvido por servidor de nomes DNS, ex: comp.ist.utl.pt 2. Numero IP, ex: 193.136.143.1 3. Sequência de endereços, ex: 193.136.143.34-193.136.143.58 4. CIDR ( Classless Internet Domain Routing), na forma endereço base/máscara. A máscara ( netmask ) pode ser indicada sob 2 formas Curta, com o número de bits do prefixo que são fixos. Completa, indicando o valor de todos os grupos de 8 bits (entre 0 e 255) Firewalls : 20/35

Endereços (2) Filtro curto Máscara Número de endereços /24 255.255.255.0 255 /25 255.255.255.128 127 /26 255.255.255.192 63 /27 255.255.255.224 31 /28 255.255.255.240 17 /29 255.255.255.248 7 /30 255.255.255.252 3 Ex: 193.136.143.0/24 indica que os 24 bits superiores são fixos, podendo variar os 32-24=8 bits menos significativos: assim é coberta a gama 193.136.143.0 a 193.136.143.255 Ex: 193.136.143.120/29, podem variar 3 bits menos significativos: assim é coberta a gama193.136.143.120 a 193.136.143.127 Firewalls : 21/35 Endereços (3) Os endereços internos, da rede privada LAN ( Local Area Network ), podem ser indicados nas classes reservadas pela IANA Classe A, bloco 24 bits (máscara 255.0.0.0): por exemplo, 10.0.0.0-10.255.255.255 Classe B, bloco 20 bits (máscara 255.255.0.0): por exemplo, 172.16.0.0-172.31.255.255 Classe C, bloco 16 bits (máscara 255.255.255.0): por exemplo, 192.168.0.0-192.168.255.255 Normalmente, o penúltimo endereço (.254) é destinado ao nó de encaminhamento ( gateway ) e o último (.255) ao nó de difusão ( broadcast ). Firewalls : 22/35

Portos Os portos abrangidos numa regra podem ser indicadas em diversas formas 1. Porto individual, ex 53 2. Gama de portos inferior:superior. Por omissão, o limite inferior e superior são 0 e 65535 :1023 (portos entre 0 e 1023) 1024: (portos de número igual ou superior a 1024) Nota 1: portos 0:1023, designados portos de sistema, são reservados e apenas podem ser abertos pelo root Nota 2: lista das aplicações associadas a portos disponibilizada em http://www.iana.org/assignments/portnumbers Firewalls : 23/35 Script (1) Formato típico de um script # Carregamento dos módulos apropriados modprobe iptable_nat modprobe ip_conntrack_ftp # Remoção regras existentes e anulação dos contadores iptables -F # flush das regras iptables -X # elimina todas as cadeias na tabela iptables -Z # anula pacotes e contadores em todas as cadeias Firewalls : 24/35

Script (2) # insere DROP por omissão iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # definições típicas IFACE="eth0" # interface nível dados (etherneteth0, ppp0, ) CLASS_C="193.136.143.0/64" # sub-rede/máscara NAMESERVER_1="193.136.128.1" # primeiro servidor de nomes DNS NAMESERVER_2="193.136.143.1" # segundo servidor de nomes DNS EMAILSERVER="193.136.128.8" GATEWAY="193.136.143.254" P_PORTS="0:1023" UP_PORTS= "1024:65535" Firewalls : 25/35 Script (3) # protecção SYN; por omissao, limit=3/hora, limit-burst=5 iptables -N syn-flood iptables -A INPUT-i $IFACE-p tcp-syn -j syn-flood iptables -A syn-flood -m limit --limit 1/s \ --limit -burst 4 -j RETURN iptables -A syn-flood -j DROP # Nova conexões são SYN iptables -A INPUT-i $IFACE-p tcp!--syn -m state\ --state NEW -j DROP ##! : operador de negação, -m : emparelha ( match ) Firewalls : 26/35

Script (4) iptables -N icmp-in iptables -N icmp-out # aceita DNS (de servidores) iptables -A INPUT -i $IFACE -p udp -s $NAMESERVER_1 \ --sport 53 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -i $IFACE -p udp -s $NAMESERVER_2 \ --sport 53 -m state --state ESTABLISHED -j ACCEPT # aceita DNS (para servidores) iptables -A OUTPUT -o $IFACE -p udp -s $NAMESERVER_1 \ --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -p udp -s $NAMESERVER_2 \ --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT Firewalls : 27/35 Script (5) # Aceita WWW iptables -A INPUT -i $IFACE -p tcp --sport 80 -m state \ --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -p tcp --sport 80 -m state \ --state NEW,ESTABLISHED -j ACCEPT # Aceita WWW cifrado iptables -A INPUT -i $IFACE -p tcp --sport 443 -m state \ --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -p tcp --sport 443 -m state \ --state NEW,ESTABLISHED -j ACCEPT Firewalls : 28/35

Transladação de endereços (1) Transladação de endereços DNAT O endereço IP de destino pode ser alterado, por exemplo com servidor WWW protegido. iptables -t nat -A PREROUTING -p tcp -d 193.136.143.6 \ --dport 80 -j DNAT --to-destination \ 128.0.1.0-128.0.1.15 A cada stream é atribuído aleatoriamente um número interno 120.0.1.0/28 Firewalls : 29/35 Transladação de endereços (2) Transladação de endereços SNAT O endereço IP de fonte pode ser alterado, por exemplo com vários servidores a partilhar a mesma conexão. iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT \ --to-source 194.236.50.155-194.236.50.160:1024-32000 ## 1024-32000 é a gama de portos Firewalls : 30/35

Transladação de endereços (3) Transladação de endereços Invisibilidade da rede interna determinada por mascaramento, que converte vários endereços internos num único IP (se 24 computadores internos requerem a mesma página WWW, o servidor recebe 24 pedidos com o mesmo endereço) Há duas redes: externa (eth0) e interna (eth1) Os pacotes são encaminhados através da cadeia FORWARD # Carregamento do módulo modprobe iptable_nat # Autorização o forward dos pacotes echo 1 > /proc/sys/net/ipv4/ip_forward Firewalls : 31/35 Transladação de endereços (4) # O endereço NAT IP é o da interface da firewall, sendo necessário apenas indicar os endereços internos iptables -t nat -A POSTROUTING -o eth0 -s 128.0.0.0/27 \ -d 0/0 -j MASQUERADE # endereços internos: 128.0.0.0/27 iptables -A FORWARD -t filter -i eth1 -m state \ --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -t filter -i eth0 -m state \ --state ESTABLISHED,RELATED -j ACCEPT Firewalls : 32/35

Listagem das regras (1) iptables L Apresenta as regras aplicadas nos 3 sentidos (INPUT, FORWARD e OUTPUT). Chain INPUT (policy DROP) target prot opt source destination bad_packets all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED, ESTABLISHED DROP all -- anywhere 127.0.0.0/8 ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh state NEW ACCEPT udp -- 193.136.152.64/27 anywhere udp dpt:snmp state NEW ACCEPT udp -- 193.136.152.64/27 anywhere udp dpt:snmp-trap state NEW ACCEPT icmp -- anywhere anywhere icmp echo-reply ACCEPT icmp -- anywhere anywhere icmp time-exceeded ACCEPT icmp -- anywhere anywhere icmp parameter-problem ACCEPT icmp -- anywhere anywhere icmp destination-unreachable ACCEPT icmp -- anywhere anywhere icmp source-quench ACCEPT icmp -- anywhere anywhere icmp echo-request Filtragem Protocolo Estado do pacote Firewalls : 33/35 Listagem das regras (2) Exemplo: Admitamos que foi introduzida a regra de bloqueio de Telnet (porto 23) iptables -A INPUT -p tcp --dport 23 -j DROP O comandoiptables L tem por resultado Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp -- anywhere anywhere tcp dpt:telnet Firewalls : 34/35

Listagem das regras (3) Para salvaguardar as tabelas actuais, executar comando /sbin/service iptables save que salva configuração no ficheiro /etc/sysconfig/iptables A configuração pode ser lida directamente pelo comando /sbin/iptables-save e carregada directamente pelo comando /sbin/iptables-restore < fich Firewalls : 35/35