UNIVERSIDADE TUIUTI DO PARANÁ WILSON LUIZ PROSDOCIMO MÉTODO DE ANÁLISE, OTIMIZAÇÃO E VERIFICAÇÃO DO CONJUNTO DE REGRAS DE UM FIREWALL.

UNIVERSIDADE TUIUTI DO PARANÁ WILSON LUIZ PROSDOCIMO MÉTODO DE ANÁLISE, OTIMIZAÇÃO E VERIFICAÇÃO DO CONJUNTO DE REGRAS DE UM FIREWALL. CURITIBA 2014

WILSON LUIZ PROSDOCIMO MÉTODO DE ANÁLISE, OTIMIZAÇÃO E VERIFICAÇÃO DO CONJUNTO DE REGRAS DE UM FIREWALL. Monografia apresentada ao Curso de Pós- Graduação em Redes de Computadores e Segurança de Redes, Administração e Gerência, da Universidade Tuiuti do Paraná, como requisito para a obtenção do título de Pós-Graduado em Redes de Computadores e Segurança de Redes, Administração e Gerência. CURITIBA 2014

RESUMO Este trabalho pretende lançar uma luz sobre o processo de análise e verificação de sistemas de Firewalls e sobre a forma de otimizar e organizar este conjunto de regras facilitando assim a administração e o suporte destes sistemas em diferentes cenários. Foram identificados alguns métodos já utilizados e a forma como são geridos os sistemas de firewalls atualmente, com o objetivo de propor uma sequência de ações para a análise e otimização dos conjuntos de regras e para a verificação de seu funcionamento, eficácia e correspondência com a política de acesso. Inicialmente pode-se verificar que existem vários trabalhos discorrendo sobre o assunto e que algumas das discussões se baseiam apenas se o software proposto é melhor ou pior que os outros, mas na sequência também foi observado algumas técnicas interessantes de análise utilizando vários recursos matemáticos e abordagens diferenciadas. Este trabalho acaba por apresentar uma sequência de ações considerada ideal para que se tenha um ambiente de firewall seguro e funcional, após levantar algumas destas técnicas. Palavras chave: Firewall, política de acesso, procedimentos.

LISTA DE FIGURAS FIGURA 1 - PROPOSTA BÁSICA DE UM FIREWALL... 6 FIGURA 2 - ARQUITETURA PACKET FILTERS... 8 FIGURA 3 - ARQUITETURA DUAL-HOMED HOST.... 9 FIGURA 4 - ARQUITETURA SCREENED HOST.... 10 FIGURA 5 - ARQUITETURA SCREENED SUBNET.... 11 FIGURA 6 - PACKET FILTERING COM RELAÇÃO ÀS CAMADAS OSI.... 11 FIGURA 7 - PACKET FILTERING COM CONTROLE DE ESTADO DE SESSÃO... 12 FIGURA 8 - PROXY COM RELAÇÃO ÀS CAMADAS OSI.... 13 FIGURA 9 - STATEFULL INSPECTION COM RELAÇÃO ÀS CAMADAS OSI.... 13

SUMÁRIO 1 INTRODUÇÃO... 5 2 FUNDAMENTAÇÃO TEÓRICA... 6 2.1 FIREWALL... 6 2.1.1 Os Benefícios de seu uso... 7 2.1.2 Classificação dos Firewalls... 8 2.1.3 Arquiteturas de Firewall... 8 2.1.4 Filtros de pacotes... 11 2.1.5 Filtros de pacote com estado de sessão... 12 2.1.6 Proxy ou Gateway de aplicação... 12 2.1.7 Novos recursos... 13 2.2 A POLÍTICA DE SEGURANÇA... 15 2.3 MELHORIAS APLICÁVEIS... 17 2.4 SISTEMAS DE ANÁLISE DE FIREWALLS... 18 2.4.1 Proposta de GUTTMAN... 19 2.4.2 Sistema FIRMATO... 20 2.4.3 Sistema FANG... 22 2.4.4 Sistema LUMETA... 24 2.5 TÉCNICAS DE IDENTIFICAÇÃO DE ERROS... 25 3 PROCEDIMENTOS METODOLÓGICOS... 28 4 CONSIDERAÇÕES FINAIS... 30

5 1 INTRODUÇÃO Hoje, até mesmo uma intranet corporativa de tamanho moderado contém vários firewalls e roteadores, que são usados para fazer cumprir vários aspectos da política de segurança corporativa. Configurar estes dispositivos para trabalhar em conjunto é difícil, especialmente se eles são produzidos por diferentes fornecedores. Os arquivos de configuração destes Firewalls são escritos normalmente em linguagem de baixo nível, e a política global está espalhada por todos os firewalls que estão envolvidos (MAYER, 2000). Firewalls são os pilares da segurança da intranet corporativa. Uma vez que um firewall é adquirido, o administrador de segurança/sistemas tem que configurá-lo e gerenciá-lo para criar uma política de segurança adequada para as necessidades específicas da empresa (MAYER, 2005). Segundo Rubin citado por Mayer (2005): "O fator mais importante de segurança do seu firewall é como você o configura." Frequentemente existe a necessidade de conhecer o nível de proteção oferecido por um firewall, bem como suas deficiências. Firewalls não são softwares ou equipamentos que podem simplesmente ser retirados da caixa, conectados na rede e utilizados instantaneamente. Precisam ser adequadamente configurados, geralmente seguindo uma política de segurança da informação corporativa, para que possam atender necessidades específicas de cada rede. Além disso, a configuração é dinâmica e precisa ser revista periodicamente, seja quando novas vulnerabilidades são descobertas, quando são efetuadas alterações na arquitetura da rede ou ainda quando a política de segurança é modificada (AL- SHAER, 2003; 2004b). Existem vários trabalhos discorrendo sobre métodos de análise de firewalls e ambientes de redes, mas eles normalmente se baseiam no uso de uma ferramenta ou de equipamentos específicos. Pretende-se com este estudo identificar qual seria a melhor metodologia para gerir sistemas de firewall independente da plataforma, utilizando o conceito geral de funcionamento de firewalls, procurando otimizar o conjunto de regras e ajustá-lo à política de segurança da empresa.

6 2 FUNDAMENTAÇÃO TEÓRICA 2.1 FIREWALL Um Firewall pode ser qualquer dispositivo utilizado como um mecanismo de controle de acesso de nível de rede para uma rede particular ou um conjunto de redes. (ANÔNIMO...,2001, p.152). Basicamente, separa uma rede protegida de uma rede desprotegida. Ele exibe e filtra todas as conexões que chegam pela Internet à rede protegida, e vice-versa, por um único ponto de verificação de segurança concentrada. Um Firewall, configurado corretamente em um ponto estratégico da rede, garante que o usuário não possa atingir a Internet a partir da rede interna, e vice versa, a menos que passe através deste ponto de verificação. (GONÇALVES, 2000, p.232) Figura 1 - Proposta básica de um Firewall O principal objetivo de um Firewall é o de proteger uma rede. Atuando como filtro, reduz os riscos de invasões aos servidores internos desta rede propiciando um ambiente mais seguro. (GONÇALVES, 2000, p.235). Pode proibir determinados serviços vulneráveis, tais como NFS, de entrar ou sair de uma rede privada. Isto fornece o benefício de prevenir serviços de serem explorados por invasores externos, mas ao mesmo tempo, permite o uso deste serviço com um risco muito reduzido de exploração. Serviços como NIS ou NFS, que são particularmente úteis em uma rede local podem assim serem aproveitados e usados para reduzir a carga de gerenciamento do servidor. (GONÇALVES, 2000, p.235) Os Firewalls também podem oferecer proteção contra ataques baseados em roteamento, tal como roteamentos de origem e tentativas de redirecionar caminhos

7 para redes comprometidas, por meio de redirecionadores ICMP. Ele pode rejeitar todos os pacotes, e o protocolo ICMP os redireciona, informando aos administradores sobre os incidentes. (GONÇALVES, 2000, p.235) São projetados para servir como pontos de controle; avaliam as solicitações de conexão na medida em que elas são recebidas. Baseado em um conjunto de regras predefinido, os Firewalls verificam se o tráfego da rede deve ser permitido. A maioria dos Firewalls executa esta ação, orientados pelo endereço IP de origem e destino juntamente com o número de porta e tipo de protocolo. (ANÔNIMO...,2001, p.152) 2.1.1 Os Benefícios de seu uso Quando interligamos duas ou mais redes, muitas vezes temos diferentes níveis de confiabilidade em cada uma delas. Confiabilidade neste caso seria acreditar que tanto os softwares quanto os usuários que usam os computadores das redes não são maliciosos. O Firewall deve impor os limites a esta confiança por vários motivos, dentre eles: evitar a exploração de falhas de sistemas operacionais por meio de agentes externos, impedir o acesso a conteúdo inadequado (Pedofilia, Pornografia, Pirataria), evitar vazamento de informação, reforçar e aplicar a política de segurança, auditar dados de acesso para permitir identificar uso inadequado ou inesperado dos recursos da rede. (INGHAM e FORREST, 2004?) O Firewall, tendo todo acesso de, e para a Internet, pode registrar os acessos e fornecer estatísticas sobre o uso da rede. (GONÇALVES, 2000, p.236) É capaz de suportar uma política de negar todos os serviços exceto aqueles especificados como permitidos mesmo que esta não seja a política a ser usada. Emprega técnicas de filtragem para permitir ou negar serviços a um host específico se necessário. (LOPES, 2002) Um Firewall é um grande aliado no combate a vírus e cavalos de tróia uma vez que é capaz de bloquear as portas que normalmente são utilizadas por estes softwares maliciosos ou então bloquear acesso de programas não autorizados à rede da empresa. (ALECRIM, 2004)

8 2.1.2 Classificação dos Firewalls Segundo INGHAM e FORREST (2004?) pode-se classificar os Firewalls pela arquitetura ou pela camada de operação do modelo OSI, mas não somente destas formas. Outras definições referem-se a Firewalls distribuídos ou dinâmicos, e quanto ao uso de normalização de protocolos, assinaturas de ataques e transient addressing. 2.1.3 Arquiteturas de Firewall As principais arquiteturas de Firewall existentes são Packet Filters (ou Filtragem de Pacotes), Dual-Homed Host, Screened host e Screened Subnet. (SIEWERT,2010?) Na arquitetura Packet Filters é utilizado apenas um roteador que efetua a triagem dos pacotes que trafegam através dele. Este sistema é considerado de baixo custo, pois, para conexão à Internet, quase sempre é necessário um roteador. Logo, o roteador que provê acesso à Internet também poderá atual como filtro. (ZWICKY, 2000, p.125/p.126). É oferecido também o controle de acesso baseado no endereço IP ou tipo de protocolo. O tráfego de dados é aceito, rejeitado ou descartados verificando-se o endereço IP de origem ou de destino e o tipo de aplicativo. Firewalls Packet Filters oferecem um simples nível de segurança a um preço relativamente baixo. Oferecem ainda um alto nível de desempenho, e normalmente são transparentes ao usuário. (GONÇALVES, 2000, p.324) Figura 2 - Arquitetura Packet Filters

9 Entretanto, este tipo de arquitetura não é muito flexível, é possível permitir ou negar um protocolo pelo número de portas, mas não é possível permitir um determinado tipo de acesso no protocolo e negar outro tipo de acesso no mesmo protocolo. Outra deficiência é a de o roteador não oferecer nenhum tipo de defesa adicional; se o roteador estiver comprometido não haverá nenhuma segurança na rede interna. (ZWICKY, 2000, p.126) Na arquitetura Dual-Homed Host um computador que possui duas interfaces de rede atua como Firewall desde que não seja configurado com a função de roteador. O Dual-Homed Host conecta a rede interna à Internet e vice-versa filtrando os pacotes que por ele passam. Este tipo de arquitetura pode oferecer um nível de controle muito alto se não estiver permitindo que os pacotes passem de uma rede à outra sem que estes sejam filtrados. (ZWICKY, 2000, p.126-127) Oferecem um nível de controle superior se comparado ao Firewall por filtragem de pacotes. Devido ao fato de funcionarem na camada de aplicação do modelo OSI eles possuem a capacidade de examinar o tráfego em detalhes o que o torna mais seguro. (GONÇALVES, 2000, p.325) Figura 3 - Arquitetura Dual-Homed Host. No entanto, Firewalls Dual-Homed Host não são considerados de alto desempenho pelo fato de terem que filtrar todas as conexões que por ele passam; não será admissível ao Dual-Homed Host um fluxo grande de tráfego como em sistemas Packet Filters. (ZWICKY, 2000, p.127) Screened Host é uma arquitetura que fornece serviços de um host que está conectado apenas a rede interna, utilizando um roteador, normalmente chamado de roteador de borda, como ponto de acesso à Internet. Nessa arquitetura, a principal segurança é fornecida pela filtragem de pacotes. O host fornecedor de serviços é

10 denominado bastion host e é o único computador da rede interna para o qual hosts da Internet podem abrir conexões. Neste modelo, a segurança é fornecida pela filtragem de pacotes que é realizada pelo roteador e somente após esta validação os encaminha ao bastion host. Todas as solicitações de conexões oriundas da Internet precisarão passar pelo bastion host o que obriga a manutenção de um alto nível de segurança neste computador. (ZWICKY, 2000, p.129) Figura 4 - Arquitetura Screened Host. Em Screened Subnet é acrescentada uma camada extra de segurança à arquitetura Screened Host adicionando-se uma rede de perímetro que isolará ainda mais a rede interna da Internet. A finalidade desta arquitetura é fornecer proteção ao bastion host devido a ele ser a máquina com a maior probabilidade de sofrer ataques externos. (ZWICKY, 2000, p.131) Na configuração mais simplificada desta arquitetura há dois roteadores conectados à rede perimetral. Um roteador que provê acesso à Internet está conectado entre a rede perimetral e a Internet; o outro roteador está conectado entre a rede perimetral e a rede interna. (ZWICKY, 2000, p.131-132) Na ocorrência de uma invasão ao bastion host o invasor, para obter acesso a rede interna, precisaria passar pelo roteador localizado entre a rede perimetral e a rede interna. Nesta arquitetura não há apenas um ponto vulnerável como nas arquiteturas anteriores. (ZWICKY, 2000, p.132)

11 Figura 5 - Arquitetura Screened Subnet. 2.1.4 Filtros de pacotes A filtragem de pacotes analisa os cabeçalhos dos pacotes que trafegam na rede a fim de decidir se permite ou não a passagem do pacote de uma rede para a outra. Esta abordagem enfatiza o desempenho, visto que não exige interação do usuário como ocorre nos proxys, ela apenas utiliza uma ou mais informações do cabeçalho para decidir se encaminha ou não os pacotes. (INGHAM e FORREST, 2004?) Figura 6 - Packet Filtering com relação às Camadas OSI. As partes do cabeçalho que podem ser utilizadas são: endereço de destino, protocolo de nível de transporte utilizado (TCP, UDP, ICMP, entre outros.), sinalizadores de estado, porta de origem, porta de destino, interface de rede que recebeu o pacote, interface que irá enviá-lo e se o pacote se trata de um pacote de entrada ou de saída. (INGHAM e FORREST, 2004?)

12 Embora a filtragem de pacotes seja rápida ela possui alguns inconvenientes, como a dificuldade na escrita das regras de filtragem e o fato de não permitir identificar qual usuário está gerando o trafego de rede. Assim não é possível limitar os acessos de um usuário, apenas de um endereço IP, o que não é muito eficiente. (INGHAM e FORREST, 2004?) 2.1.5 Filtros de pacote com estado de sessão. Inicialmente os filtros de estado ignoravam o estado da sessão, isso quer dizer que um host remoto poderia enviar pacotes que se pareciam com os de uma conexão TCP já estabelecida, passando assim pela filtragem de pacotes. A solução para este problema foi passar a gravar o estado de uma conexão, passando assim a tratar os pacotes não só no nível de rede, mas também no nível de transporte. (INGHAM e FORREST, 2004?). Dessa forma, é possível permitir a entrada de conexões que tenham sido previamente estabelecidas a partir da rede interna, e negar conexões novas a partir de um ambiente externo. Figura 7 - Packet Filtering com controle de estado de sessão. 2.1.6 Proxy ou Gateway de aplicação Um Proxy é um programa que recebe o trafego destinado a outro computador, pode requerer a autenticação do usuário como forma de verificar se o mesmo possui liberação para tal acesso, e depois contata o serviço de destino em nome do sistema de origem. (INGHAM e FORREST, 2004?)

13 Figura 8 - Proxy com relação às Camadas OSI. A conexão com o destino não é mais realizada pelo computador que originou a requisição, mas sim pelo servidor Proxy que age como representante da origem. Os Proxys operam na camada de transporte ou na camada de aplicação (OSI), sendo que os proxys da camada de transporte são mais simples devido à pequena quantidade de protocolos desta camada (TCP e UDP), já os proxys da camada de aplicação exigem aplicativos separados para tratar cada protocolo (Telnet, FTP, HTTP, entre outros). (INGHAM e FORREST, 2004?) 2.1.7 Novos recursos Statefull Inspection: Serve para inspecionar pacotes e tráfego de dados, baseado nas características de cada aplicação, nas informações associadas a todas as camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e no estado das conexões e sessões ativas. Figura 9 - Statefull Inspection com relação às Camadas OSI.

14 IPS: É utilizado para prevenção de Intrusão agindo de forma identificar o abuso do protocolo TCP/IP mesmo em conexões aparentemente legítimas. Deep Packet Inspection: Associa as funcionalidades do Stateful Inspection com as técnicas dos dispositivos IPS, é também conhecido como tecnologia SMLI (Stateful Multi-Layer Inspection), ou seja, Inspeção total de todas as camadas do modelo ISO/OSI (7 camadas). Esta tecnologia permite que o Firewall decodifique o pacote, interpretando o tráfego sob a perspectiva do cliente/servidor, ou seja, do protocolo propriamente dito e inclui técnicas específicas de identificação de ataques. Com a tecnologia SMLI/Deep Packet Inspection, o Firewall utiliza mecanismos otimizados de verificação de tráfego para analisá-los sob a perspectiva da tabela de estado de conexões legítimas. A combinação permite que novos padrões de tráfegos sejam entendidos como serviços e possam ser adicionados às regras válidas em poucos minutos. A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para ser aplicada também em estações de trabalho e computadores domésticos (o chamado "Firewall Pessoal"), além do surgimento de soluções de Firewall dedicado a servidores e aplicações específicas (como servidores Web e banco de dados).

15 2.2 A POLÍTICA DE SEGURANÇA A política de segurança é a mais importante decisão a ser tomada referente ao Firewall, e reflete o posicionamento da empresa referente ao nível de segurança esperado. Uma política de segurança interessante para o Firewall é negar explicitamente todos os serviços, exceto aqueles que são críticos para a necessidade da empresa. Mas existem vários níveis de paranoia com relação a isto, assim a política final do Firewall irá depender mais das necessidades da empresa do que de decisões diretas da equipe de engenharia. (RANUM, ROBERTSON, CURTIN, 2009) Segundo RANUM (2003?), existem duas abordagens básicas que resumem esta decisão: O que não é expressamente permitido é proibido. O que não é expressamente proibido é permitido. Adotar uma política de segurança é a primeira tarefa que deve ser executada antes da implantação de um Firewall na rede interna. A escolha da política mais adequada dependerá do tipo de serviços de rede que a empresa utiliza. A política de segurança a ser adotada deverá: Definir serviços que serão bloqueados ou permitidos na rede: Uma das políticas de segurança mais comum é a do menor privilégio. É baseada no princípio que qualquer componente da rede deva ter acesso apenas aos pontos que lhe são necessários para executar suas tarefas (ZWICKY, 2000, p.61). Uma política de alto nível definirá os serviços que serão bloqueados ou permitidos na rede e como serão usados. (GONÇALVES, 2000, p.238) Flexibilidade a serviços com acesso à Internet: No caso da empresa necessitar de serviços com acesso à Internet, desenvolvimento WEB ou qualquer tipo de serviço eletrônico externo, a política de segurança tem de ser flexível. Uma política de segurança flexível permite que a adequação das necessidades da empresa diante das mudanças dos serviços da Internet, por exemplo, seja executada de modo seguro e consistente. (GONÇALVES, 2000, p.238) Segurança nos acessos a servidores internos por usuários externos: O acesso a servidores internos pelo público externo através da disponibilização deste recurso pelo administrador da rede pode comprometer a segurança desta rede. A política de segurança a ser adotada deve ser capaz de diferenciar usuários internos

16 de externos e aplicar as regras cabíveis a cada tipo de usuário. (GONÇALVES, 2000, p.240) Garantir acesso a serviços específicos a usuários que necessitam de tal acesso: Alguns usuários possuem a necessidade em obter acesso a serviços específicos de rede como, por exemplo, através de uma conexão SLIP ou PPP. O acesso aos serviços específicos não devem prejudicar a proteção da rede interna (GONÇALVES, 2000, p.238). Alguns usuários também poderão ter a necessidade de utilizar conexões discadas, tanto no sentido de entrada da rede como no de saída para acessar remotamente um determinado sistema. Este tipo de conexão merece atenção principalmente na orientação aos usuários autorizados sobre os riscos de invasão à rede através deste ponto de acesso. Estes usuários precisam ser autenticados no Firewall para que seja possível garantir a segurança da rede interna. (GONÇALVES, 2000, p.240) Proibir qualquer tipo de conexão externa sem devida autorização do administrador da rede: Usuários precisam ser avisados das ameaças de acessos desautorizados que uma capacidade de discagem pode gerar. O uso de modems anexados a qualquer host da rede ou cliente que não tenha sido aprovado pelo MIS (Management of Information Systems) ou que não esteja passando pelo Firewall deverá ser expressamente proibido. Deste modo a vulnerabilidade do sistema será minimizada. (GONÇALVES, 2000, p.240) Proibir a instalação ou manipulação de arquivos pelos usuários através de dispositivos não autorizados pelo administrador de rede: Os modems 3G e pen drives merecem atenção especial na política de segurança da rede. Segundo Renato Marinho, diretor de tecnologia da empresa cearense Nettion Information Security, o uso de modems 3G dos próprios funcionários burlam a segurança digital da empresa criando uma porta de acesso sem qualquer controle. (PEN DRIVE, 2009) Por isso, algumas empresas adotam uma política mais rígida de não permitir o uso de pen drives, diz Marinho. (PEN DRIVE..., 2009) Renato Marinho recomenda, ainda, a utilização de programas que controlam este tipo de mídia de armazenamento. (PEN DRIVE, 2009) Definir padrão de senha de alto nível de segurança: Será restringida ao usuário a configuração de senhas de autenticação com baixo nível de complexidade.

17 Senhas fáceis, curtas ou previsíveis são obstáculos simples de serem transpostos por invasores experientes. (GONÇALVES, 2000, p.240) Adoção de software antivírus nas estações da rede: O conjunto de regras especificamente aplicável ao Firewall determina a política de projeto de Firewall que tem a finalidade de definir as regras de acesso de acordo com a capacidade ou limitação do Firewall. Normalmente um Firewall pode permitir qualquer tipo de serviço e negar um especificamente, ou pode negar qualquer tipo de serviço e permitir um especificamente; dependendo de suas características. (GONÇALVES, 2000, p.239) 2.3 MELHORIAS APLICÁVEIS Embora a implantação da tecnologia de Firewall seja um passo importante para proteger nossas redes, a complexidade da política de gerenciamento pode limitar a eficácia da segurança. Uma política de Firewall pode incluir anomalias, onde um pacote pode combinar com duas ou mais diferentes regras de filtragem. Quando essas regras são definidas, deve ser dada muita atenção no controle das relações e interações, a fim de determinar uma sequência adequada destas e garantir a semântica correta de acordo com a política de segurança. Com o passar do tempo, o número de regras de filtragem tende a aumentar. Com isso, ocorre também o aumento das dificuldades em mantê-las de acordo com as políticas adotadas. É muito provável, neste caso, a introdução de regras conflitantes, como uma regra geral sombreando outra regra específica, ou regras correlacionadas cuja ordenação determina ações diferentes para o mesmo pacote. Além disso, uma rede organizacional típica em grande escala pode envolver centenas de regras que podem ser escritas por diferentes administradores, em vários momentos. Isso aumenta significativamente o potencial de ocorrência de anomalias em diretivas de Firewall, colocando em risco a segurança da rede. Portanto, a eficácia da segurança do Firewall é dependente do uso de técnicas de gestão da política e ferramentas que permitam aos administradores de rede analisar, purificar e verificar a corrigir as regras de Firewall já escritas. (AL- SHAER e HAMED, 2003). Firewalls que utilizam o sistema de filtragem de pacotes (Packet Filters) são os mais comumente usados nas empresas. Conforme já descrito, tais Firewalls

18 possuem um alto desempenho na execução de suas tarefas, a um custo muito mais acessível. Porém, a administração desse tipo de Firewall, mostra-se um pouco mais complicada, pois, qualquer erro na hora de escrever uma regra, pode trazer uma série de problemas, que pode causar a liberação de acessos indevidos, ou mesmo o bloqueio de conexões legítimas. 2.4 SISTEMAS DE ANÁLISE DE FIREWALLS As sistemas de análise de firewall e auditoria de firewall podem ser previamente divididas entre as que realizam testes ativos ou passivos no ambiente. Segundo Mayer (2005) existem ferramentas disponíveis no mercado que permitem realizar testes ativos de vulnerabilidade, algumas comerciais como o ISS e outras livres, como o Satan ou o Nmap. Estas ferramentas precisam estar ligadas fisicamente à rede e podem testar o roteamento de pacotes e as políticas de firewall. Para isto, estas ferramentas ativas enviam pacotes na rede e verificam os pacotes que recebem como retorno. Por este motivo ele aponta algumas restrições de tais ferramentas: Se a rede interna é muito grande, testar todo o ambiente acaba sendo proibitivamente lento. Certamente uma ferramenta de testes ativos não conseguiria testar todas as combinações de endereços, portas e protocolos utilizados. As ferramentas de teste de vulnerabilidade só conseguem verificar um tipo de erro de configuração, onde pacotes que deveriam estar bloqueados passam, não identificando um problema de pacote que deveria estar liberado e está sendo bloqueado. Assim este segundo tipo de erro acaba sendo detectado pela estratégia de Configurar e aguardar que reclamem, isto é incomodo aos usuários e pode derrubar aplicações críticas da empresa. Testes ativos são sempre pós-fato. Detectar problemas após a nova política ter sido implementada é perigoso (a rede fica vulnerável até que o problema seja detectado e uma política segura seja aplicada), cara (aplicação de políticas em uma grande é demorada e muito propensa a erros), e incomoda aos usuários. Ter a possibilidade de testar fora de produção antes de aplicar as mudanças é uma grande melhoria.

19 Uma ferramenta de teste de vulnerabilidade ativa precisa enviar pacotes e detectar problemas verificando se pacotes de retorno são recebidos ou não. Contudo, não é possível testar vulnerabilidades de rede para ataques de spoofing: se a ferramenta spoofa um ip de origem ela nuca receberá os pacotes de retorno. Os testes ativos podem testar somente de um ponto físico da topologia da rede. Um problema que não envolva o ponto onde a ferramenta de testes está não pode ser detectado. Uma ferramenta ativa pode detectar um buraco apenas se o host estiver utilizando um IP de destino, se este host estiver ligado e ouvindo na porta analisada. Se o host estiver desligado ou não estiver ouvindo, a vulnerabilidade não será detectada. Contudo, scanners ativos possibilitam dados adicionais que a análise passiva não tem. Tais dados incluem respostas às seguintes questões: Este host realmente ouve esta porta? Este host roda uma versão vulnerável desta aplicação? O usuário e senha são fáceis de quebrar? Este host é alcançável com o esquema de rotas atual? Assim, analises passivas e ativas de fato complementam-se umas às outras. Uma metodologia prudente deve executar analises passivas e de acordo com os resultados escolher os hosts mais expostos para efetuar testes ativos de vulnerabilidade. A PCI (2013) em seu requisito 11.2 recomenda executar scans de vulnerabilidades das redes internas e externas pelo menos trimestralmente e após qualquer mudança significativa na rede (como instalações de novos componentes do sistema, mudanças na topologia da rede, modificações na regra do firewall, atualizações de produtos). À seguir, são apresentadas algumas propostas de técnicas e sistemas de verificação de firewalls: 2.4.1 Proposta de GUTTMAN Guttman (1997) em sua proposta utiliza uma linguagem tipo Lisp, que visa ser mais simples para os administradores de firewall, para expressar a política de restrição de acesso à rede que devem ser implementadas nos firewalls. Além disto propões

20 dois algoritmos. O primeiro gera automaticamente um conjunto de regras para os firewall baseado na topologia de rede e na política de restrição de acesso à rede inseridas. Esta geração automática do conjunto de regras visa assegurar a correta implementação da política de restrição de acesso à rede. O segundo algoritmo proposto permite a conversão de um conjunto de regras existente para uma nova base de regras escrita na linguagem proposta. Partindo desta nova base de regras ele permite comparar as regras com a política de restrição de acesso à rede, previamente descrita na linguagem, determinando a existência de conflitos e reportando se há ou não problemas ou violações nestas regras. No trabalho o autor conclui que esta abordagem traz benefícios substanciais pois pela geração automática de regras é possível prover um conjunto compacto e inequívocos de objetivos de segurança para uma rede em particular. Promovendo uma solução automatizada para a localização de problemas que permite identificar se o conjunto de regras realmente impões o que está descrito na política. Apesar disto o autor identifica várias áreas que permaneceram abertas para trabalhos futuros, como: a geração de conjuntos de regras específicos de acordo com o equipamento disponível; as regras geradas não apresentam controle de acesso para proteger os roteadores em si, somente as redes à ele ligadas; o uso de túneis e controle de acesso à VPNs; 2.4.2 Sistema FIRMATO Bartal et al. (2004) propõe um sistema chamado FIRMATO (Firewall Management Toolkit) que basicamente consiste em um conjunto de ferramentas de análise passiva para gerenciamento de firewalls distribuídos, ou seja, para redes onde existem mais de um firewall. Com este conjunto de ferramentas o autor considera que o gerenciamento de firewall pode ser realizado à um nível apropriado de abstração. As ferramentas foram implementadas de forma a trabalhar com firewalls disponíveis comercialmente, de forma a utilizar uma linguagem de alto nível que seja válida para analisar firewalls de forma genérica independente da marca ou modelo. Segundo o autor os diferenciais do sistema FIRMATO em relação aos demais pelas seguintes propriedades: