Sistemas de Firewall Luiz Henrique Barbosa luiz@oluiz.com Firewalls Um Firewall é um método de proteger hosts e redes conectados a outros computadores e redes contra ataques como: tentativas de obter acesso não autorizado, interrupção de serviços, capturar ou alterar trafégo das comunicações, roubo de informações a partir de conexões internas ou externas à sua rede, entre outros. Uma combinação de hardware e software que protege redes mediante a análise do tráfego de entrada e saída Sistema desenhado para controle de acesso a recursos a partir de uma rede não confiável, além de segmentar e proteger redes privadas. 1
Firewalls Um firewall é toda estrutura posicionada entre uma rede que se quer proteger e um meio hostil. Firewalls 2
Missão de um Firewall O firewall geralmente se coloca entre uma rede que se quer proteger e outra considerada hostil. Há casos, porém, de firewalls que consideram as duas redes como sendo hostis e protegem uma da outra. O que um Firewall é capaz de fazer? Ser um ponto de controle de tráfego Aplicar políticas de segurança Registrar atividade suspeita Limitar a exposição dos ativos e dados 3
O que um Firewall não faz? Proteger contra ataques internos, salvo em soluções de maior custo Controlar tráfego que não passa pelo mesmo Proteger contra ameaças 0-day (*) Ser capaz de mitigar todos os riscos da corporação Estratégias para um Firewall Mínimo privilégio Defesa em profundidade múltiplos mecanismos Considerar o elo mais fraco Falha segura (Fail Safe) Participação universal Segurança em pessoas Diversidade de defesa Simplicidade Choke point 4
Choke Point Estrangulamento Ter controle total de todo o trafégo Topologia Segura Uma arquitetura de Rede Segura começa com uma Topologia Segura A segregação de Redes de forma adequada é o primeiro passo para uma rede segura e de boa performance, a palavra chave é planejamento. 5
Firewalls - Política Conjunto de Regras = Política Imposta por Firewalls e outros dispositivos de perímetro de rede Firewalls - Políticas Restritivas: Tudo o que não é explicitamente liberado está negado (bloqueia tudo e libera o que é extremamente necessário) Permissivas: Tudo o que não é explicitamente negado está liberado. (libera tudo e bloqueia o que não deve ser liberado) 6
Firewalls Basta segregar rede Interna da Internet? NÃO!!! PARADIGMA REDE INTERNA SEGURA Atualmente a maioria dos ataques parte da rede Interna, dessa forma a utilização de DMZs internas, e redes segregadas são fundamentais para a segurança da corporação. ISO/IEC 17799/27001 11.4.5 Segregação de Redes....dividir em diferentes domínios de rede lógicas......perímetro de segurança definido....domínios devem ser definidos com base em avaliação de riscos...... baseado na política de controle de acesso e requisitos de acesso (10.1) 7
ISO/IEC 17799/27001 11.4.6 Controle de Conexão de Rede....conexão dos usuários pode ser restrita através dos gateways que filtram o tráfego por meio de tabelas ou regras definidas. - 11.4.7 Controle de Roteamento de Redes. Os gateways de segurança podem ser usados para validar endereços de origem e destino......baseados na política de controle de acesso. PCI DSS Exigência 1: Instale e mantenha uma configuração de firewall para proteger os dados do portador de cartão. Todos os sistemas devem ser protegidos contra o acesso não autorizado através da Internet...... O firewall é o principal mecanismo de proteção de qualquer rede de computador. 8
Definições Bastion Hosts Rede de perímetro ou DMZ (De-Militarized Zone) Roteadores de Borda Screened Subnets Intranet, Extranet SOCKS Proxy, Filtros de pacotes Stateful Inspection NAT, PAT Bastion Hosts Host mais exposto da rede Mais suscetível a ataques, o bastion host deve ser configurado pensando que o mesmo irá sofrer ataques Técnicas de OS Hardening muito utilizadas Normalmente, os bastion hosts são provedores de serviços ao mundo externo, à frente do resto do firewall 9
DMZ Demilitarized Zone, ou zona desmilitarizada, nome que surgiu durante a Guerra da Coréia Rede de perímetro. Todo tráfego que passar por esta região será rigorosamente analisado DMZ é toda a área dentro do sistema de firewall, ou seja, entre a rede hostil e a rede privada. Pode conter serviços A rede privada não tem acesso direto à rede hostil, e sim via DMZ, e vice-versa Defesa de Perímetros 10
SOCKS Protocolo de internet que permite que aplicações cliente-servidor usem transparentemente o serviço de uma rede ao firewall Mascara conexões na camada de transporte Definido na RFC 1928 Transparente aos extremos das conexões Não faz consulta a DNS Mecanismos de log (Mais inteligente que NAT) Seguro (Somente escuta na interface interna ) Filtro de Pacotes 11
Filtro de Pacotes Filtro de Pacotes Vantagens: Custo Transparente para Aplicação Método Rápido Desvantagens: Acesso limitado ao cabeçalho do pacote Limitação em manipular informações Difícil de Monitorar e Gerenciar Mínimo mecanismo de Log e Alertas 12
Filtro de Pacotes ACL s CISCO ACL Simples / Extendida Router(config)access-list 11 deny 10.0.0.0 0.255.255.255 Router(config) access-list 101 deny icmp any any Router(config) access-list 101 permit tcp any host 172.16.100.3 eq 53 Router(config) access-list 101 permit udp any host 172.16.100.3 eq 53 IPChains LINUX # ipchains -A INPUT -i eth1 -p tcp -s 0/0 -d 200.219.228.90 25 -j DENY Proxy 13
Proxy Vantagens: Mais Seguro que ACL s Melhor nível de Log / Gerência Inspeção até camada de aplicação Quebra de conexão cliente / servidor Desvantagens: Proxy por serviços Escalabilidade Vulnerável a Bugs de SO Número duplicado de conexões Limitação de serviços Proxy Proxy 2.0 Microsoft Microsoft ISA Server Squid Blue Coat 14
Firewall Stateful Inspection Firewall Stateful Inspection Inspeção completa do Pacote Controle sobre protocolos não orientados a conexão - (UDP, ICMP) Mais agilidade na inspeção Mais confiável (Tabela de Estados) Firewall de 3 Geração 15
Stateful Inspection Alguns Players Firewall-1 Check Point CISCO PIX/ASA Sonicwall Juniper Aker BlackICE (soho) Netfilter (IPTables) LINUX PF (Packet Filter) OpenBSD Firewalls Players de Mercado CheckPoint Seu principal produto, o Firewall-1, foi um dos primeiros a chegar ao mercado Líder em grandes corporações Interface gráfica para configuração Sem suporte a interface texto Sistemas operacionais: Windows (Cuidado!) Solaris Linux IPSO (Nokia) Secure Plataform 16
Firewalls Players de Mercado Suporte a tecnologias Stateful Inspection / Deep inspection / Content Filter Integração com VPN Ambiente Cluster Protocolos pré-definidos NAT Autenticação Firewalls Players de Mercado 17
Firewalls Players de Mercado PIX Firewall Appliance Administrado a partir de clientes Windows Suporte a tecnologias NAT / PAT Filtragem em camada de aplicação RADIUS/TACACS+ VoIP Firewalls Players de Mercado etrust Linha de produtos de segurança Firewall Antivírus Autenticação Plataformas Windows Linux Solaris 18
Firewalls Players de Mercado PF (Packet Filter) Incluída no kernel do SO Stateful Inspection Integração com IDS Configuração via texto* QoS (OpenCarp, Trunk) Regras com Autenticação (AuthPF) Firewalls GUI FWBUILDER Ferramenta gráfica para criação de filtros de pacotes Open Source Suporta diversos tipos de firewalls Configuração orientada a objeto, semelhante à do FW-1 Plugins disponíveis para diversos sistemas 19
FWBUILDER - GUI Host Firewall x Network Firewall ` ` ` 20
Host Firewall x Network Firewall Firewalls de Perímetros 21
Firewalls - Arquitetura Simples Roteador de Borda Pacotes permitidos ou bloqueados, conforme política de segurança Firewalls - Arquitetura Bastion Host Servidores Públicos - Bastion Hosts 22
Firewalls Arquitetura DMZ DMZ Firewalls - Arquitetura com FW FIREWALL 23
Firewalls Arquitetura com Camadas Firewalls Arquitetura com Camadas 24
Firewalls- Segregação de Redes Firewalls - Ambiente INTERNET Roteador de Borda DMZ Screened Subnet Intranet Firewall WEB DNS FTP Clientes Clientes Clientes Clientes 25
Firewalls Ordem das Regras Origem Destino Protocolo Porta (O) Porta (D) Ação Horário * 200.200.200.200 tcp * 80 Aceita * 200.200.1.1 200.200.200.201 tcp * 21 Aceita * * * tcp/udp * 53 Aceita * 10.10.10.0 * tcp * * Aceita Comercial 10.10.10.0 * udp * * Aceita * * * * * * Nega * Firewalls Ordem das Regras Origem Destino Protocolo Porta (O) Porta (D) Ação Horário * 200.200.200.200 tcp * 80 Aceita * 200.200.1.1 200.200.200.201 tcp * 21 Aceita * * * tcp/udp * 53 Nega * 10.10.10.0 * Tcp * * Aceita Comercial * * * * * Nega * 10.10.10.0 * udp * * Aceita * 26
Exercício Trabalho Firewall Você foi contratado para desenhar a topologia segura para uma empresa varejista do ramo de móveis domésticos: A empresa possui uma Matriz, onde estão localizados os servidores e sistemas de segurança, um Centro de Distribuição onde esta localizado o servidor de Logística, além de possuir 10 lojas distribuídas pela grande São Paulo. Na matriz encontra-se os seguintes servidores: ERP (192.168.1.10:1990; 80-443) Banco de Dados (192.168.1.11:1433) Proxy (192.168.1.100:8080) Web (192.168.1.12:80-443) FTP (192.168.1.13:21) DNS (192.168.1.14:53) Exercício A rede da matriz é 20.10.10.0/24 A rede do CD é 30.10.10.0/24 e o servidor de logística é 30.10.10.1 e se comunica com o banco de dados da matriz através da porta 1433 A rede das lojas seguem os Ips sequencias conforme o nome que se faz referência (ex. Loja01 o IP é 1.10.10.0, Loja05 IP: 5.10.10.0. As lojas e o Centro de Distribuição se comunicam com a Matriz por roteadores. As lojas possuem acesso ao servidor ERP que contém um módulo para frente de caixa onde é acessado através das portas 80/443; A empresa se comunica com o seu fornecedor de eletrodomésticos através da range 120.0.0.0 onde são disponibilizados arquivos.txt contendo informações de pedido 27
Exercício A empresa vende pela internet. Vocês terão orçamento para: 2 Firewalls para a implementação. (Sendo um Firewall Stateful Inspection e um Proxy 1 Firewall WAF Web Application Firewall Segurança em Filtros como roteadores e Firewall para evitar ataques de spoofing, firewalking, etc Justifique suas ações e promova um grande projeto seguro para a empresa. Tanto a parte documenta quanto o desenho da topologia final. Trabalho igual a de outro grupo será penalizado na nota final de ambos os grupos envolvidos. (lembre-se da ética) Firewalls Fim Aula 1 Obrigado! 28