Projeto para Implementação de Firewalls



Documentos relacionados
FIREWALL. Prof. Fabio de Jesus Souza. Professor Fabio Souza

Firewalls. O que é um firewall?

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini prof.andre.luis.belini@gmail.com /

Uma combinação de hardware e software que protege redes mediante a análise do tráfego de entrada e saída

Segurança de Redes. Firewall. Filipe Raulino

Entendendo como funciona o NAT

Componentes de um sistema de firewall - II. Segurança de redes

Componentes de um sistema de firewall - I

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Firewalls. Firewalls

Segurança da Informação

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Firewall. Alunos: Hélio Cândido Andersson Sales

Administração de Sistemas Operacionais

Servidor, Proxy e Firewall. Professor Victor Sotero

Segurança de Redes de Computadores

Firewall. Tutorial Firewall em Linux Acadêmicos: Felipe Zottis e Cleber Pivetta

Características de Firewalls

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Controlando o tráfego de saída no firewall Netdeep

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

Atualizado em 9 de outubro de 2007

IPTABLES. Helder Nunes

Uso do iptables como ferramenta de firewall.

Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos

Firewall. Qual a utilidade em instalar um firewall pessoal?

Aula Prática Roteador

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

Curso Firewall. Sobre o Curso de Firewall. Conteúdo do Curso

Segurança em Sistemas de Informação

UNIVERSIDADE FEDERAL DE PELOTAS

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

MODELO CLIENTE SERVIDOR

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus


1º Seminário de Software Livre Tchelinux Software Livre: leve adiante esta idéia. Soluções de Web Caching e Web Acceleration

Prof. Samuel Henrique Bucke Brito

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft

Indústria de Cartão de Pagamento (PCI)

CONHECIMENTOS ESPECÍFICOS TÉCNICO DE LABORATÓRIO / ÁREA INFORMÁTICA

VPN entre Unimed Federação do Paraná e Singulares do Paraná. Gustavo Kochan Nunes dos Santos. Curso de Especialização em Redes e Segurança de Sistemas

Guia de Conectividade Worldspan Go Res! A V A N Ç A D O

Tópicos. Firewall. Terminologia. História - continuação. Primeiros Casos. História. História Conceitos Básicos Hardware Software Híbrido

TRANSMISSÃO DE DADOS Prof. Ricardo Rodrigues Barcelar

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

3 Um Framework Orientado a Aspectos para Monitoramento e Análise de Processos de Negócio

Sistemas Distribuídos

Segurança com Iptables

MÓDULO 7 Modelo OSI. 7.1 Serviços Versus Protocolos

A IMPORTÂNCIA DE FIREWALL S PARA AMBIENTES CORPORATIVOS

Aula 08. Firewall. Prof. Roitier Campos Gonçalves

Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy

genérico proteção de rede filtragem dos pacotes Sem estado (stateless) no próprio pacote. Com estado (stateful) outros pacotes

HOW TO. Solução. UDP portas 53, 69, passo. é criado duas HTTP, conectar e o tipo de. Liberando restante; Liberando todo o res Bloqueand.

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões

Aula Prática Wi-fi Professor Sérgio Teixeira

18/05/2014. Problemas atuais com o IPv4

Plano de Segurança da Informação

Iptables. Adailton Saraiva Sérgio Nery Simões

Principais Benefícios. ESET Endpoint Security

Procedimento para instalação do OMNE-Smartweb em Raio-X

DarkStat para BrazilFW

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers


Curso de Instalação e Gestão de Redes Informáticas

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços

Aula 14 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

4. Qual seria o impacto da escolha de uma chave que possua letras repetidas em uma cifra de transposição?

AP_ Conta Aplicativo para digitação e envio de contas médicas no padrão TISS

Política de Utilização da Rede Sem Fio (Wireless)

Informática - Prof. Frank Mattos

Atividade PT 5.3.4: Configurando ACLs estendidas Diagrama de topologia

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s):

9. Quais as características a tecnologia de conexão à Internet denominada ADSL A) Conexão permanente, custo variável, linha telefônica liberada e

Dom o ín í i n o i o d e d Con o h n e h cim i ent n o o 3 To T p o o p l o o l g o i g a i s e I D I S Carlos Sampaio

Gestão de Ambiente Tecnológico - Tec. Redes Turma 3A Data: 04/11/2010 Prof. Renato Ferreira renaferr@yahoo.com.br

AS CONSULTORIA & TREINAMENTOS. White Paper pfsense

O modelo ISO/OSI (Tanenbaum,, 1.4.1)

Tecnologia de Redes de Computadores - aula 5

Arquitetura de Rede de Computadores

Professor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede

3. Explique o motivo pelo qual os protocolos UDP e TCP acrescentam a informação das portas (TSAP) de origem e de destino em seu cabeçalho.

PROGRAMAÇÃO PARA DISPOSITIVOS MÓVEIS -ARQUITETURAS DE APLICAÇÃO MÓVEL. Prof. Angelo Augusto Frozza, M.Sc.

Firewalls, um pouco sobre...

FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02. Prof. Gabriel Silva

FIREWALL, PROXY & VPN

Winconnection 6. Internet Gateway

Transcrição:

FACULDADE IBTA PÓS GRADUAÇÃO EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO GIULIANO GONÇALEZ BALDI LEONARDO CHEN ANTUNES MAURICIO FERNANDO LOPES RICARDO PCHEVUZINSKE KATZ RODRIGO DOS REIS MARTINS Projeto para Implementação de Firewalls São Paulo 2009

FACULDADE IBTA PÓS GRADUAÇÃO EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO GIULIANO GONÇALEZ BALDI LEONARDO CHEN ANTUNES MAURICIO FERNANDO LOPES RICARDO PCHEVUZINSKE KATZ RODRIGO DOS REIS MARTINS Projeto para Implementação de Firewalls Trabalho sobre a segurança em sistemas Firewalls, exigidas pela disciplina de Firewalls. São Paulo 2009

3 Sumário Introdução... 4 1) Projeto... 5 2) Definições... 5 2.1) Modelos de Firewalls...6 2.2) Entendimento dos Acessos...8 2.3) Layout da Rede e Considerações...9 3) Aplicação das Regras... 10 4) Segurança via Kernel... 10 Conclusão... 12 Referências... 13

4 Introdução Como qualquer área, a Informática também necessita de segurança. Um dos principais elementos e artifícios utilizados com freqüência nas empresas para esta finalidade é chamado de Firewall. Até por isso, um conceito errôneo sobre Firewall é divulgado por várias pessoas, onde freqüentemente fazem a analogia: Firewall é Segurança, ou vice versa. Salienta-se antecipadamente que Firewall é um elemento importantíssimo nesse quesito, mas não se resume apenas nele. Vários itens de segurança devem ser aplicados para que não só um sistema fique seguro, mas que o ambiente de forma geral alcance um nível almejado. Abordaremos alguns conceitos nas próximas seções deste trabalho.

5 1) Projeto Este projeto foi solicitado como parte da avaliação da matéria de Firewalls, ministrado aos alunos da Pós Graduação do IBTA. Neste projeto [3], foi solicitado o entendimento de uma solicitação de uma empresa de móveis, a qual necessita disponibilizar dados e interagir com seus clientes, funcionários e fornecedores com segurança. Desta forma, partiu-se do principio que somente o necessário será exposto as partes envolvidas no processo e o restante será automaticamente bloqueado pelas políticas de firewall ora desenvolvidas. Maiores detalhes serão expostos nas seções seguintes. 2) Definições Por definição [1], Firewall é um dispositivo constituído pela combinação de hardware e software, utilizado para controlar o acesso entre redes de computadores. Desta maneira, este projeto consiste em utilizar tal dispositivo para segmentar as diversas redes existentes na empresa de móveis a qual necessita interagir com suas lojas, centro de distribuição, fornecedores, consumidores advindos da internet e obviamente por sua própria rede interna. Todos os serviços devem ser acessados de forma correta e estritamente necessária. Assim sendo, todos os acessos devem ser devidamente mapeados, de maneira que sejam autorizados ou não, de acordo com a situação a qual cada solicitação se enquadre naquele exato momento. Em outras palavras, para se autorizar ou bloquear uma solicitação de conexão aos ativos da empresa é necessário saber:

6 Hosts (Origens e Destinos); Portas (Origens e Destinos); Estado das conexões (Novas ou Estabelecidas). Mais adiante, um diagrama com as redes envolvidas no projeto serão demonstradas graficamente, fornecendo um melhor entendimento e, posteriormente, as respectivas regras de firewall criadas especificamente para garantir que somente os acessos vindos de fontes confiáveis serão permitidos. 2.1) Modelos de Firewalls Antes de qualquer executar qualquer projeto para implementação de Firewalls, é preciso saber o que será protegido, do que será protegido, se necessitarão de logs, se terá interação com base de usuários ou qualquer outra particularidade que se apresentar. Atualmente, várias opções podem ser oferecidas, e cada uma pode ser mais adequada que outras, desde recursos disponíveis ou até mesmo ao preço ofertados pelos respectivos fabricantes. Alguns diferenciais: Suporte a maior quantidade de protocolos, Alta Disponibilidade, Controle de Banda (QoS), StateFull, etc. Existem produtos gratuitos, disponibilizados diretamente na internet e mantidos pela comunidade, chamados de OpenSource a qual podemos citar: IPTables (Linux), PF (OpenBSD), IPFW (FreeBSD), Squid etc. E, alguns outros são proprietários, a qual podemos citar: ISA Server (Microsoft), CheckPoint (CheckPoint), PIX/ASA (Cisco) etc. Mas, dentre produtos, fabricantes e qualidades (diferenciais) é necessário definir um perfil de Firewall [2,3] a qual poderá ser mais adequado, como:

7 Proxy: Tem por objetivo receber requisições de acesso de usuários, consultar as regras e, caso autorizado, intermediar o acesso ao destino. Assim que a requisição retorna ao dispositivo, é automaticamente retornada ao usuário a qual solicitou originalmente o acesso; Filtro de Pacotes (StateLess): Tem por objetivo receber requisições de acessos vindos de endereços e portas específicos, e, caso autorizado, estabelecer um túnel entre ambas as partes. Toda a orientação é feita baseada em hosts (endereços ips) e portas. Filtro de Pacotes (StateFull): Semelhante ao StateLess, este também tem por objetivo receber requisições de acessos vindos de endereços e portas específicos, e, caso autorizado, estabelecer um túnel entre ambas as partes. Mas, neste caso, toda a orientação é feita baseada em hosts (endereços ips), portas e estados, sendo capaz de diferenciar uma conexão sendo nova ou já estabelecida anteriormente. Extremamente útil quando trabalhada com políticas e regras mais restritivas. Filtro de Aplicações: Da mesma forma que os demais já citados anteriormente, tem o objetivo de autorizar ou negar conexões vindas da rede. Mas, o diferencial neste caso é que a partir deste modelo é possível agir na camada de aplicação (Camada 7, modelo OSI), não levando somente hosts (origens e destinos) e portas, e sim conteúdo dos pacotes. Para aplicações Web, um projeto por nome ModSecurity [4] tem o objetivo de proteger ataques contra WebServers (Apache [5]). Um outro conceito utilizado na implementação deste projeto foi DMZ [6] (ou Zona Desmilitarizada), a qual tem por objetivo separar fisicamente 2 ou mais redes entre si, evitando trazer qualquer risco para as demais caso esta(s) seja(m) comprometida(s).

8 Neste trabalho utilizou-se deste conceito para prover serviços de DNS, ERP, WWW, FTP etc, ao passo que, conforme já citado, caso um destes serviços forem comprometidos nenhum outro segmento da rede será afetado. 2.2) Entendimento dos Acessos Para a finalização do projeto, incluindo o layout das redes e definição dos acessos, algumas regras de Firewall foram desenhadas com o objetivo de permitir estritamente acessos necessários, conforme a solicitação inicial. Assim sendo, uma tabela com algumas informações necessárias como redes, hosts e portas, foi disponibilizado da seguinte forma: Site Rede Gateway Observação Centro de Distribuição (CD) 30.10.10.0/24 30.10.10.1 Acessará o BD da Matriz através da porta 1433. Fornecedores 120.0.X.Y/24 120.0.X.Y O endereço de cada fornecedor variará, bem como o respectivo gateway. Os Fornecedores acessarão o FTP da matriz através das portas 20 e 21. Matriz (DMZ) 192.168.1.0/24 192.168.1.1 Os servidores dispostos neste segmento não acessarão hosts externos, somente retornarão solicitações, com exceção do Proxy. Matriz (Interna) 20.10.10.0/24 20.10.10.1 Acessará todos os hosts da DMZ. Acessos para sites web serão feitos a partir do Proxy, disponibilizado na DMZ. Loja X X.10.10.0/24 X.10.10.0.1 Cada rede de loja variará de acordo com sua identificação. Internet 0/0 200.200.200.200 A rede da internet não poderá ser prevista. Assume-se any. Hosts da internet terão acesso aos servidores da DMZ: DNS e WWW..

9 2.3) Layout da Rede e Considerações Abaixo, um diagrama foi definido com o objetivo de representar graficamente a topologia sugerida neste projeto. Sendo assim, algumas considerações foram importantes: O acesso vindo dos Fornecedores destinado ao serviço de FTP foi definido por VPN, uma vez que o protocolo não é criptografado; O WAF (Web Application Firewall) foi mantido na DMZ que, apesar de estar na mesma rede, todo o tráfego HTTP e HTTPS aos servidores WEB e ERP serão filtrados primeiramente pelo dispositivo e, caso uma solicitação for autorizada,esta será repassada às respectivas máquinas. Tal máquina recebeu o IP 192.168.1.30 ; No demais, as características restantes já haviam sido especificadas na própria definição do trabalho/projeto, não tendo nada a inovar.

10 3) Aplicação das Regras Conforme já citado anteriormente, todas as regras foram criadas o mais restritas possível, no intuito de não permitir que acessos não autorizados sejam concluídos com sucesso. Assim, tais regras serão apresentadas, conforme segue: Interface de Entrada Interface de Saída Portas Origem Destino Finalidade Protocolo eth4 eth1 8080 20.10.10.0/24 192.168.1.100 PROXY/Matriz Todos Todas eth1 80,443 0/0 192.168.1.30(*) WEB/All Todos eth2 eth1 80,443 1.10.10.0/24 192.168.1.30(*) ERP/Loja01 Todos eth2 eth1 80,443 2.10.10.0/24 192.168.1.30(*) ERP/Loja02 Todos eth2 eth1 80,443 3.10.10.0/24 192.168.1.30(*) ERP/Loja03 Todos eth2 eth1 80,443 4.10.10.0/24 192.168.1.30(*) ERP/Loja04 Todos eth2 eth1 80,443 5.10.10.0/24 192.168.1.30(*) ERP/Loja05 Todos eth2 eth1 80,443 6.10.10.0/24 192.168.1.30(*) ERP/Loja06 Todos eth2 eth1 80,443 7.10.10.0/24 192.168.1.30(*) ERP/Loja07 Todos eth2 eth1 80,443 8.10.10.0/24 192.168.1.30(*) ERP/Loja08 Todos eth2 eth1 80,443 9.10.10.0/24 192.168.1.30(*) ERP/Loja09 Todos eth2 eth1 80,443 10.10.10.0/24 192.168.1.30(*) ERP/Loja10 Todos eth3 eth1 1433 30.10.10.0/24 192.168.1.11 BD/CD Todos tun+ eth1 20,21 120.0.0.0/24 192.168.1.13 FTP/Fornec. Todos Todas eth1 53 0/0 192.168.1.14 DNS/All Todos (*) WAF Ressalta-se, entretanto, que todas as regras acima aceitarão as conexões caso coincidam. Caso não, a conexão automaticamente será bloqueada, levando em conta que a política padrão do Firewall definido neste projeto é DROP. 4) Segurança via Kernel Como já citado anteriormente, durante o processo de hardening é necessário ter em mente que apenas o firewall de borda na rede não traduz segurança.

11 Assim sendo, alguns outros itens foram pesquisados, testados e citados neste documento no intuito de trazer conhecimentos necessários para aprimorar a segurança do Firewall em si, como evitar ataques do tipo: DoS e Spoofing. Tais itens variam a forma de aplicação de sistema para sistema, mas neste caso foram devidamente implementados no GNU/Linux, conforme abaixo: ############################################################ ########## Enabling some kernel protections ################ ############################################################ if [ -f "/proc/sys/net/ipv4/tcp_timestamp" ]; then echo "0" > /proc/sys/net/ipv4/tcp_timestamp else echo "0" > /proc/sys/net/ipv4/tcp_timestamps fi echo "1" > /proc/sys/net/ipv4/tcp_syncookies echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo "128" > /proc/sys/net/ipv4/ip_default_ttl echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all for i in /proc/sys/net/ipv4/conf/*; do echo "0" > $i/accept_redirects echo "0" > $i/accept_source_route echo "1" > $i/log_martians echo "1" > $i/rp_filter; done ############################################################

12 Conclusão Com o avanço da tecnologia, sistemas e sistemas são desenvolvidos e customizados diariamente para que o trabalho manual seja poupado. Mais que isso, a resposta das informações armazenadas em tais sistemas são obtidas de forma instantânea, com valores e status informados com precisão. Mas, ao fim deste trabalho, notou-se a importância da obtenção de dispositivos de firewall no ambiente informático da empresa, bem como respectivas regras. Tais regras visam autorizar ou negar acessos aos ativos desta. Um Firewall é importante também em casos onde existem vulnerabilidades que não podem ser corrigidas de imediato, e ao mesmo tempo obviamente não podem ser mitigadas do ambiente em curto prazo. Desta forma, cria-se então regras que somente um ativo ou um grupo de ativos tenham acesso a este, reduzindo a probabilidade da ameaça daquele sistema ou serviço em específico. Assim sendo, mostra-se quão importante é criar regras especificas, altamente selecionadas e analisadas para que não autorizem mais do que necessário.

13 Referências [1] Cartilha CERT-BR http://cartilha.cert.br/glossario/ (Acessado em 22/11/2009, às 15h); [2] Wikipédia http://pt.wikipedia.org/wiki/firewall (Acessado em 22/11/2009, às 17h); [3] Material das aulas de Firewall (IBTA/2009); [4] ModSecurity http://www.modsecurity.org/ (Acessado em 22/11/2009, às 17h30); [5] Apache Software Foundation http://www.apache.org/ (Acessado em 22/11/2009, às 17h30); [6] Wikipédia http://pt.wikipedia.org/wiki/dmz_(computação) (Acessado em 22/11/2009, às 17h30);

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback