Firewall
29
UNIVERSIDADE FEDERAL DE SANTA CATARINA DEPARTAMENTO DE INFORMÁTICA E ESTATÍSTICA CURSO DE PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO Arquitetura de Redes de Computadores SEMINÁRIO DE FIREWALLS Alexandre Rosa Camy Evandro R. N. Silva Rafael Righi FLORIANÓPOLIS – SC - 2003
-
Upload
gabriel-marchesan -
Category
Documents
-
view
13 -
download
0
description
artigo sobre firewall
Transcript of Firewall
UNIVERSIDADE FEDERAL DE SANTA CATARINA
DEPARTAMENTO DE INFORMÁTICA E ESTATÍSTICA
CURSO DE PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
Arquitetura de Redes de Computadores
SEMINÁRIO DE FIREWALLS
Alexandre Rosa Camy
Evandro R. N. Silva
Rafael Righi
FLORIANÓPOLIS – SC - 2003
Sumário
1 Introdução 4
2 Descrição do Firewall 52.1 O que um Firewall pode fazer ? . . . . . . . . . . . . . . . . . 6
2.1.1 Um firewall é o foco para tomadas de decisão . . . . . 62.1.2 Um firewall pode ser usado como ponto de partida para
forçar uma política de segurança . . . . . . . . . . . . . 62.1.3 Um firewall pode gravar requisições . . . . . . . . . . . 72.1.4 Um firewall limita a exposição da rede . . . . . . . . . 7
2.2 O que um firewall não pode fazer ? . . . . . . . . . . . . . . . 82.2.1 Um firewall não pode proteger a rede contra usuários
internos . . . . . . . . . . . . . . . . . . . . . . . . . . 82.2.2 Um firewall não pode proteger contra conexões que não
passam por ele . . . . . . . . . . . . . . . . . . . . . . 82.2.3 Um firewall não pode proteger contra ameaças comple-
tamente novas . . . . . . . . . . . . . . . . . . . . . . . 92.2.4 Um firewall não pode proteger contra vírus . . . . . . . 9
3 Tipos de Firewall 113.1 Filtro de Pacotes . . . . . . . . . . . . . . . . . . . . . . . . . 113.2 Servidores Proxy . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.2.1 Funcionamento de um Servidor Proxy . . . . . . . . . . 153.2.2 Métodos de utilização de Servidores Proxy . . . . . . . 163.2.3 Vantagens e Desvantagens . . . . . . . . . . . . . . . . 17
3.3 Servidor Proxy X Filtro de Pacotes . . . . . . . . . . . . . . . 18
4 Tipos Adicionais de Firewall 194.1 Firewalls Híbridos . . . . . . . . . . . . . . . . . . . . . . . . 19
1
4.2 Firewalls Bastion Host . . . . . . . . . . . . . . . . . . . . . . 204.2.1 Funcionamento de um bastion host . . . . . . . . . . . 214.2.2 Honey Pot . . . . . . . . . . . . . . . . . . . . . . . . . 22
5 Arquitetura de Firewalls 235.1 Screened host . . . . . . . . . . . . . . . . . . . . . . . . . . . 235.2 Screened Subnet . . . . . . . . . . . . . . . . . . . . . . . . . . 25
6 Conclusão 27
2
Lista de Figuras
3.1 Exemplo de Filtro de Pacotes . . . . . . . . . . . . . . . . . . 123.2 Modelo de Servidor Proxy . . . . . . . . . . . . . . . . . . . . 16
4.1 Firewall de Tipo Híbrido . . . . . . . . . . . . . . . . . . . . . 204.2 Firewall tipo Bastion Host . . . . . . . . . . . . . . . . . . . . 21
5.1 Exemplo de screened host . . . . . . . . . . . . . . . . . . . . 245.2 Exemplo de screened subnet . . . . . . . . . . . . . . . . . . . 26
3
Capítulo 1
Introdução
Segurança tem tornado-se uma das principais preocupações de todas as or-ganizações que decidem conectar suas redes privadas à Internet. Um númerocada vez maior de usuários demanda acesso a serviços da Internet, como anavegação pelas páginas da World Wide Web (WWW), correio eletrônico(e-mail), Telnet e FTP (File Transfer Protocol). Por outro lado, mais e maisorganizações decidem abrir parte de suas redes internas ao público externo,oferecendo o acesso a páginas corporativas e a servidores de arquivos FTP.Os administradores de redes, por tudo isso, passam a ter crescentes pre-
ocupações a respeito da segurança de suas redes corporativas, quanto à in-vasão por parte de agentes externos (como crackers). Estatísticas apontamprejuízos de mais de 5 bilhões de dólares no período de 1997-1999, devidosa ataques de hackers e gangues cibernéticas. Naturalmente, o passo seguinteé a definição de uma política de segurança para a organização, que per-mita evitar que usuários não autorizados tenham acesso a recursos privativosdas redes internas e permita proteger os dados internos contra uma possívelexportação, também não autorizada. Neste contexto, os firewalls são umaferramenta importante.
4
Capítulo 2
Descrição do Firewall
Um Firewall é um sistema, ou um grupo de sistemas, que aplicam umapolítica de segurança entre a rede interna de uma organização, e a Internet.O Firewall determina os serviços que podem ser acessados a partir do ex-terior, os utilizadores externos com autorização para acessarem ao conjuntode serviços disponíveis e também os serviços externos que estão acessíveis autilizadores internos.Para que um Firewall seja eficiente, todo o tráfego entre a Internet e a rede
terá que passar através dele, onde, será inspecionado. Ele deverá permitirunicamente a passagem de tráfego autorizado.É importante saber que este sistema não é somente um roteador, ou um
computador com software específico, mas uma combinação de ambos comum propósito bem definido: verificar, analisar ou armazenar os dados quetrafegam por ele, para aplicar uma política de segurança.A classificação do tipo de firewall é obtida através da maneira de como
os mesmos bloqueiam o tráfego entre diferentes redes. Podemos definir doisgrandes grupos de firewalls:
• Filtro de pacotes;• Proxy.
De uma forma geral, um projeto de Firewall segue os seguintes princípios:
• Todo tráfego de dentro para fora e vice-versa, precisa passar através doFirewall. Isso é realizado por meio do bloqueio físico de todo acesso àrede local exceto via Firewall;
5
• Somente tráfego autorizado, conforme definido pela política local desegurança, terá passagem permitida pelo Firewall.
• O Próprio Firewall deve ser imune à penetração. Isso implica no usode sistemas confiáveis com um sistema operacional seguro.
2.1 O que um Firewall pode fazer ?
A implementação de um Firewall pode ajudar a aumentar o nível de segu-rança de uma rede, pois ele se torna o foco para tomadas de decisões, jáque geralmente se localiza no ponto de entrada/saída de uma rede. Ele podetambém ser um incentivo para ser o ponto de partida para a implementaçãode uma política de segurança em uma organização, pois ele pode realizar omonitoramento de todos os dados que trafegam pela fronteira de uma rede.Além disso, ele pode gravar as requisições solicitadas pelos usuários, e de ummodo geral limita a exposição de uma rede para o mundo externo. Muitas dasvantagens do uso de firewall vão além da segurança, algumas são detalhadasa seguir.
2.1.1 Um firewall é o foco para tomadas de decisão
Um firewall é como um ponto de controle. Todo tráfego saindo e chegandodeve passar através desse único e estreito ponto de controle. Um firewallaumenta o grau de segurança de uma rede, pois ele permite que se concentrea implementação de segurança nesse ponto de controle: o ponto onde a redese conecta à Internet.
2.1.2 Um firewall pode ser usado como ponto de par-tida para forçar uma política de segurança
Muitos dos serviços oferecidos pela Internet são de natureza insegura. O fire-wall é como se fosse o guarda de trânsito desses serviços. Ele força a imple-mentação de uma política de segurança, apenas permitindo que os ”serviçosaprovados” passem através dele. Entenda-se por ”serviços aprovados” aque-les que pertencem as regras configuradas no firewall para que sejam aceitos.Por exemplo, a gerência de uma rede pode decidir que certos serviços comoNFS e NIS são de alto risco para serem usados através do firewall. O firewall
6
não se importa com o que o sistema ou o usuário tentam fazer. Ele apenasavalia a requisição e decide se ela deverá ou não seguir em frente. Em umaoutra rede, por exemplo, a gerência pode decidir que apenas um sistemainterno terá direito de comunicar com o mundo externo.Ainda em um outro lugar, pode-se optar em permitir acesso de todos os
sistemas se um certo tipo ou pertencentes a um certo grupo. As variações naimplementação de uma política de segurança são diversas.
2.1.3 Um firewall pode gravar requisições
Devido ao tráfego que passa pelo firewall, ele se torna um bom lugar paracoletar informações sobre o uso dos sistemas e da rede, bem como o usoimpróprio. Como um único ponto de acesso, o firewall pode gravar o queocorre entre a rede protegida e o mundo externo.Através do log é possível, por exemplo, determinar a origem de ataques
destinados à rede interna, já que no log é possível obter informações comohorário e IP da máquina origem. Do mesmo modo, pode ser utilizado comoguia de consulta para as requisições que tem como alvo as máquinas externasà rede. Isso pode ser útil, por exemplo, para se fazer trabalhos de estatística,bem como o levantamento dos perfis dos usuários da rede.
2.1.4 Um firewall limita a exposição da rede
Algumas vezes um firewall é usado para dividir sub-redes dentro de umamesma rede.Quando essa abordagem é adotada, evita-se que problemas de segurança
que possam vir a acontecer em uma sub-rede se espalhem através de toda arede.Em alguns casos é necessário fazer isso porque uma parte da rede precisa
de mais confiança que outra, ou até mesmo porque uma parte precisa ser maisbem protegida que outra, o que é muito comum no meio computacional.Um caso típico é o exemplo de uma organização que mantém um sistemaoperando e acessa informações a partir de um Banco de Dados que não podeser exposto. Com certeza, será adotada uma política de segurança paraessa organização que priorize ao máximo o grau de segurança na seção darede onde encontra-se esse Banco de Dados. Qualquer que seja a razão, aexistência do firewall limita que o dano de um problema de segurança de umaporção da rede se espalhe ao longo de toda a rede.
7
2.2 O que um firewall não pode fazer ?
Um firewall oferece excelente proteção contra ameaças de rede, mas eles nãosão a solução completa para o problema de segurança. Certas ameaças estãofora do alcance do firewall. Essa ameaças precisam ser cuidadas pela cor-poração, pois de nada adiantaria a existência de um excelente firewall se acorporação não se preocupar com o acesso físico de usuários à rede e a sim-ples educação dos usuários para serem mais cuidadosos, como por exemplo,a escolha de boas senhas e o hábito de não deixar uma máquina logada semestar fisicamente presente.
2.2.1 Um firewall não pode proteger a rede contra usuários
internos
Um firewall pode impedir que um usuário do sistema envie informações dedomínio da organização para fora através de uma conexão de rede: ele sim-plesmente não teria direito de requisitar tal conexão. Mas o mesmo usuáriopoderia copiar os dados em um disquete ou até mesmo um pedaço de papele carregá-lo usando uma simples pasta. Se o invasor já se encontra dentroda rede, de nada adianta a existência do firewall.Usuários podem roubar dados, danificar hardwares e modificar programas
com sutileza, de modo que essas modificações jamais passem pelo firewall.Um exemplo disso é o caso de um programador de uma Instituição Financeiraque muda o código fonte de um programa para redirecionar dinheiro para asua própria conta. Esse tipo de ataque não pode ser detectado pelo firewall.Neste caso, seria necessário que a Instituição possuísse uma equipe para fazerauditoria dos sistemas da organização, reduzindo a possibilidade de sofrerataques dessa natureza.
2.2.2 Um firewall não pode proteger contra conexões
que não passam por ele
Um firewall pode efetivamente controlar o tráfego que passa através dele. Noentanto, nada pode ser feito com um tráfego que não atravessa o firewall. Porexemplo, de que adiantaria um firewall se for permitido que uma máquina darede se conecte a uma máquina da Internet via discagem direta? O firewallnão tem como impedir que uma máquina se conecte ao mundo externo através
8
de um modem.Algumas vezes, usuários tecnicamente espertos ou administradores de sis-
tema configuram suas próprias ”portas dos fundos” para entrar na rede, comouma conexão através de um modem. Isso acontece, pois muitas vezes essesusuários se chateiam com restrições impostas pelo firewall. Nesse caso, nadapode ser feito por parte do firewall, pois trata-se de um problema de geren-ciamento de pessoas, não um problema técnico.
2.2.3 Um firewall não pode proteger contra ameaças
completamente novas
Um firewall é projetado para proteger uma rede contra ameaças conheci-das. Até que um firewall bem projetado pode proteger contra algumas novasameaças, desde que ele seja projetado para rejeitar todas as requisições pornatureza e somente aceitar as requisições explicitamente descritas. Com isso,se por exemplo, um firewall é projetado para somente aceitar requisições des-tinadas a atender o serviço Web e recusar todas os demais serviços, entãoele estará protegido contra um novo serviço que venha a surgir no mundocomputacional.No entanto, nenhum firewall pode automaticamente defender a rede con-
tra todas as novas ameaças que aparecem. Periodicamente as pessoas desco-brem novas maneiras de atacar, usando serviços anteriormente confiáveis ouusando ataques que simplesmente nunca foram usados. Não se pode jamaisconfigurar um firewall uma vez e achar que essa configuração protegerá arede eternamente.
2.2.4 Um firewall não pode proteger contra vírus
Um firewall não pode manter os vírus fora de uma rede. Embora muitosfirewalls rastreiem todo o tráfego chegado para determinar se ele é ou nãopermitido para atravessar o firewall, o rastreamento é feito, na maioria dasvezes, em função dos endereços e número de portas origem e destino; e nãopelo conteúdo da mensagem. Até mesmo com o uso de softwares sofisticadosde filtragem de pacotes, a proteção contra vírus em um firewall não é prat-icável, pois existem simplesmente muitos tipos de vírus e muitas maneiras deum vírus se esconder dentro dos dados trafegados.Para detectar um vírus em um pacote qualquer de dados passando através
de um firewall é muito difícil, pois requer:
9
1. Identificação de que o pacote é parte de um programa;
2. Determinação do que o programa deveria fazer;
3. Determinação de que a modificação é por causa de um vírus.
Até o primeiro dos itens é um desafio. A maioria dos firewalls estão pro-tegendo máquinas de diversos tipos com formatos de executáveis diferentes.Um programa pode ser um executável compilado ou um simples script, comopor exemplo, um script shell para UNIX. Além do mais, a maioria dos progra-mas são empacotados e geralmente compactados antes de serem trafegados.Por todas essas razões, usuários podem trazer vírus em pacotes que trafegampelo firewall, mesmo que ele seja o mais seguro possível. Até se fosse possívelfazer um trabalho perfeito de bloquear vírus no firewall, de qualquer forma,o problema de vírus não seria resolvido, pois nada seria feito com relaçãoa fonte mais comum de vírus: softwares baixados da Internet via discagemdireta ou trazidos de casa através de disquetes.A melhor prática para resolver o problema de vírus é através de proteção
via software e a conscientização dos usuários, fazendo com que eles se preocu-pem com os perigos provocados pelos vírus e tomem as devidas precauçõespara combater esse problema.
10
Capítulo 3
Tipos de Firewall
Existem dois tipos prin cipais de firewalls comercialmente disponíveis hoje,os quais são:
• Filtro de Pacotes;• Servidores Proxy.
Ambos os tipos agem como um filtro entre redes com serviços restritosoferecidos em ambas as direções. As sessões que seguem ilustram com detal-hes estes dois tipos.
3.1 Filtro de Pacotes
Os filtros de pacotes constituem um tipo de Firewall e seu objetivo é per-mitir, ou não, o acesso de um pacote a uma rede, baseado em regras pré-estabelecidas. Eles situam-se geralmente em roteadores, pois estes represen-tam o ponto de ligação de uma rede com outra (isolamento político). AFigura 3.1 mostra uma rede protegida por um roteador com capacidade defiltragem de pacotes, também chamado de screening router.Este mecanismo de filtragem realizado no roteador possibilita que se con-
trole o tipo de tráfego que pode existir em qualquer segmento de rede. Con-seqüentemente, pode-se controlar o tipo de serviços que podem existir nosegmento de rede. Serviços que comprometem a segurança da rede protegidadevem, portanto, ser barrados.
11
Figura 3.1: Exemplo de Filtro de Pacotes
Os filtros de pacotes não se encarregam de examinar nenhum protocolo denível superior ao nível de transporte, como por exemplo, o nível de aplicação(tarefa dos servidores proxy). Neste sentido, qualquer falha de segurançana camada de aplicação não será evitada utilizando-se o recurso de filtro depacotes.Salientando que a filtragem dos pacotes não considera protocolos acima da
camada de transporte, não é tomada nenhuma decisão baseada no conteúdodos pacotes, ou seja, nos dados dos pacotes propriamente ditos. As regras defiltragem que a maioria dos roteadores executam são baseadas nas seguintesinformações:
• endereço IP de origem;• endereço IP de destino;• protocolos TCP, UDP, ICMP;• portas TCP ou UDP origem;• portas TCP ou UDP destino;• tipo de mensagem ICMP;
12
É importante que o roteador tenha facilidades de filtragem por adaptadorde rede. Assim, todos os adaptadores de rede disponíveis no roteador sãosubmetidos às regras de filtragem, considerando as seguintes informações:
• o adaptador de rede pelo qual o pacote chega;• o adaptador de rede pelo qual o pacote sai.
Para exemplificar a vantagem do uso de filtragem através de adaptadoresde rede, imagine um ataque do tipo IP Spoofing. Neste ataque, um intrusotenta se passar com um host interno (confiável) utilizando o endereço IPdeste como endereço fonte. Se a filtragem é realizada por adaptador emambos sentidos, este tipo de ataque não funciona, por que jamais um pacotepode chegar da ”Internet” tendo como endereço fonte o endereço de umamáquina que está na rede interna.A principal vantagem do uso de filtro de pacotes é incrementar a segu-
rança da rede onde ele esta sendo aplicado. Além desta, outras vantagenssão a transparência aos usuários (não precisam ter conhecimento do filtro)e a ampla variedade de programas filtro de pacotes disponíveis no mercado(muitos distribuídos gratuitamente). Contudo, algumas desvantagens tam-bém estão presentes. As mais significantes são: as ferramentas de filtragemdisponíveis não são perfeitas, alguns protocolos não são bem adaptados àfiltragem e algumas políticas de segurança não podem ser aplicadas somentecom a utilização de filtragem de pacotes.O equipamento que realiza o processo de filtro de pacotes pode executar
uma série de atividades que servem, entre outras coisas, para monitorar osistema. Algumas atividades estão descritas abaixo:
• Realizar logs de acordo com a configuração especificada pelo admin-istrador. Desta forma, é possível analisar eventuais tentativas de ataque,bem como verificar a correta operação do sistema;
• Retorno de mensagens de erro ICMP: caso um pacote seja barrado,existe a possibilidade de se enviar ao endereço fonte alguma mensagemcom código de erro ICMP do tipo Host Unreachable ou Host Admin-istratively Unreachable. Entretanto, tais mensagens, além de causaratraso na rede, podem fornecer algumas informações sobre o filtro depacotes ao atacante, pois desta forma ele poderia descobrir quais osprotocolos que estão barrados e quais estão disponíveis.
13
Os principais riscos encontrados no processo de filtragem de pacotesencontram-se na análise do endereço IP fonte. Existem dois ataques pos-síveis neste sentido e seus nomes são IP Spoofing (citado anteriormente) eMan in the Middle. No segundo, além de forjar o endereço fonte, o atacantedeve estar no caminho ente o Firewall e host confiável porque ele tem decapturar os pacotes que são, na verdade, enviados ao host confiável. Muitosdesses ataques só funcionam quando o host confiável estiver fora de operação,pois assim que ele receber algum pacote que não esteja relacionado a nen-huma conexão que tenha iniciado, ele solicitará que a conexão forjada sejaencerrada.A filtragem baseada na porta apresenta um problema semelhante àquele
da filtragem pelo endereço IP de origem. Assume-se que a uma determinadaporta um serviço esteja associado, mas nada impede que alguém com osdevidos direitos substitua o servidor por outro. Para evitar este tipo deataque, deve-se garantir que o servidor seja confiável e execute somente opermitido, ou seja, tão importante quanto a aplicação de filtro de pacotes,é o investimento em segurança no próprio equipamento que o mantém e nosserviços disponíveis na rede.Outras considerações relevantes sobre filtro de pacotes são:
• Alguns filtros de pacotes têm a capacidades de realizar acompanhamentode sessões TCP. Este procedimento é chamado de inspeção com es-tado. Através dele podemos utilizar as flags TCP para tomar decisõessobre bloqueio ou permissão de um pacote. Um primeiro exemplo, podeser o bloqueio de um pacote que chega ao firewall e não foi solicitadopor nenhum equipamento de dentro da área protegida (não pode existirpacotes internos de uma conexão antes dela ser iniciada). Além destautilidade, este recurso é útil para diminuir o atraso do filtro do pacotes.Um exemplo é uma conexão com vários pacotes ”legais”. Normalmente,cada pacote da conexão é analisado e tem seu acesso permitido. Com in-speção por estado, pode-se criar uma tabela dinâmica com as conexõespermitidas e abertas e os seus pacotes internos passariam direto pelofiltro, sem a necessidade de terem seu cabeçalho comparado às regras.
• O processo de filtragem de pacotes acarreta um atraso (overhead) naatividade de roteamento. Portanto para uma situação de alto tráfego énecessário que se utilize um roteador com velocidade de processamentocompatível com as necessidades da rede alvo.
14
3.2 Servidores Proxy
Servidores proxy são aplicações especializadas em um firewall que assumemas requisições dos usuários de uma rede para os serviçoes de internet, como oFTP, Telnet, WWW, dentre outros. Um servidor proxy pode ser configuradoem plataformas host, que podem ser desde simples computadores pessoais aum complexo servidor multiprocessador.Uma maneira de tornar um serviço mais seguro, é não permitir que cliente
e servidor interajam diretamente. Desta forma, os servidores proxy atuamem nome do cliente, de uma forma transparente. Entretanto não permite quequalquer pacote passe diretamente entre os mesmos. Este sistema de proteçãopode ajudar a prevenir alguns ataques em nível da camada de aplicação.A transparência é um grande benefício do servidor proxy, pois, para o
usuário, ele representa a ilusão de que o usuário está se comunicando dire-tamente com uma máquina externa. Já para a máquina externa, o proxyrepresenta a ilusão de que ela se comunica com o usuário.
3.2.1 Funcionamento de um Servidor Proxy
Os seriços de Store-and-Forward, tais como: SMTP, NNTP e NTP, são pro-jetados de tal forma que as mensagens (email, news, clock settings) são re-cebidas por um servidor e armazenadas até que possam ser retransmitidaspara outro servidor apropriado. Desta forma, cada host intermediário atuacomo uma espécie de procurador.Um servidor proxy atua de forma similar, pois aceita as chamadas que
chegam e verifica se é uma operação válida, ou seja, se está de acordo com aspolíticas de segurança. A Figura 3.2 ilustra o funcionamento de um servidorproxy.Primeiro o usuário estabelece uma conexão com o servidor proxy no fire-
wall (passo 1). O proxy junta a informação enviada pelo usuário e verifica seo endereço solicitado é permitido realizando uma busca no Banco de Dadosde Autorização (passo2). Caso a chamada seja permitida, ele reenvia adiantea solicitação para o servidor real, mas com o endereço IP do firewall (passo3), protegendo assim o verdadeiro endereço de origem da solicitação. Ao re-ceber um pacote de respostas (passo 4), examina seu conteúdo e em seguidaverifica se o pacote pertence a uma solicitação interna. Em caso positivo,repassa-o ao solicitante (passo 5). Depois que a sessão é estabelecida (passo6), o servidor proxy atua como uma retransmissora e copia os dados entre
15
o cliente que iniciou a aplicação e o servidor. Desta forma, ele tem controletotal sobre a sessão e pode realizar um logging tão detalhado quanto desejar.
Figura 3.2: Modelo de Servidor Proxy
Esta característica de logging, permite o monitoramento de atividades ea gravação de eventos específicos. Um exemplo de evento pode ser: “Host10.113.12.1 initiated a Telnet to Host 10.24.2.21 at 2:00 a.m. Sunday, April16, 1996”. Tais tipos de informação podem ser muito importantes na de-tecção de um ataque.
3.2.2 Métodos de utilização de Servidores Proxy
A seguir encontram-se alguns diferentes métodos que já foram ou são utiliza-dos em servidores proxy.
Método de Conexão Direta
O primeiro método utilizado é onde o usuário se conecta diretamente noservidor proxy usando o endereço do firewall e o número da porta do proxy.O servidor proxy então pergunta ao usuário pelo endereço do host solicitado.Este é um método de força bruta usado pelos primeiros servidores. Exis-
tem várias razões por que este é o método menos preferido, dentre as quais,a mais importante é que o método necessita que os usuários conheçam o en-dereço do firewall. Desta forma, o usuário deve entrar com 2 endereços paracada conexão: o endereço do firewall e o do destino pretendido;
16
Método do Cliente Modificado
Outro método utilizado na configuração de um servidor proxy é ter apli-cações de cliente modificado no computador do usuário. O usuário executaestas aplicações para fazer conexão através do firewall, inserindo o endereçodesejado. Estas aplicações conhecem o endereço do firewall através de umarquivo local de configuração que configura a conexão com o servidor proxyno firewall.Este método é potencialmente invisível para o usuário. Entretanto, a
necessidade de se ter uma aplicação de cliente modificado para cada serviçona rede é uma regressão.
Método do Proxy Invisível
Neste método, não há a necessidade de modificar aplicações de clientes, eos usuários não tem de direcionar suas comunicações manualmente para ofirewall, pois eles nem mesmo sabem que o firewall existe. Usando controlesde roteamento básico, todas as conexões para a rede externa são roteadasatravés do firewall.Como os pacotes entram no firewall, eles são autmoaticamente redire-
cionados para um servidor proxy que executa suas funções sem que o usuárioperceba.
3.2.3 Vantagens e Desvantagens
Os sistemas de proxy possuem algumas vantegens e desvantagens, depen-dendo da situação.
Vantagens
• Permite aos usuários acesso direto aos serviços na internet:Apesar de haver um “procurador” atuando em nome do cliente, estemantém a ilusão de estar se comunicando diretamente com o servidorremoto;
• Possui bons mecanismos de log: Devido ao fato de todo o tráfegodos serviços procurados passarem pelo servidor proxy, uma grandequantidade de informações pode ser registrada de acordo com as neces-sidades de auditoria e segurança;
17
• Provê uma separação muito boa entre as redes: Pacotes não sãopassados diretamente entre duas redes. Desta forma, alguns ataquessão filtrados ou pegos pelos servidores proxy.
Desvantagens
• É necessário utilizar diferentes servidores proxy para cada serviço;• Uma nova aplicação proxy deve ser desenvolvida para cada novo serviço.Isto é um problema sério dado que novos serviços de internet estãosendo desenvolvidos todos os dias. Ainda por cima há um atraso sig-nificativo entre o surgimento de um novo serviço e um correspondenteservidor proxy;
• Alguns serviços são inviáveis para operar via servidores proxy, taiscomo: talk, que é parte baseado em TCP e parte baseado em UDP;
3.3 Servidor Proxy X Filtro de Pacotes
É importante considerar que um servidor proxy atua de maneira diferente deum filtro de pacotes, pois ele não toma as suas decisões baseado em infor-mações contidas no cabeçalho de pacotes, mas sim em informações forncediaspelo serviço, pois o proxy atua no nível da camada de aplicação.Os filtros de pacotes possuem uma vantagem em relação aos servidores
proxy no que se refere a performance, já que atuação ocorre nas camadasinferiores da comunicação. Entretanto, em nível de aplicação, a principalvantagem dos servidores proxy é a de permitir auditoria sobre o controle dotráfego, já que aplicações específicas podem detalhar melhor os eventos asso-ciados a um dado serviço. Neste caso, os servidores proxy levam vantagem,tornando-se mais seguros.Em geral, os dois tipos de firewall podem ser combinados, sendo muito
comum a utilização de roteadores com filtros de pacotes combinada com o usode servidores proxy para controle do acesso dos usuários da rede corporativaà Internet.
18
Capítulo 4
Tipos Adicionais de Firewall
Este capítulo descreve brevemente dois tipos de firwalls alternativos. Ambassão essencialemente uma combinação de filtragem de pacotes e servidoresproxy providos por um ou mais sistemas.
4.1 Firewalls Híbridos
A maioria dos firewalls podem ser classificados como um filtro de pacotesou um Servidor Proxy. Existem, no entanto, outros tipos de firewalls queoferecem uma combinação destes dois tipos. Uma variação natural dos doistipos de firewalls descritos é o sistema de firewall híbrido, que inclui tanto ofiltro de pacotes quanto o servidor proxy. A Figura 4.1 descreve este tipo:Na configuração híbrida, os pacotes recebidos são primeiro submetidos a
um filtro de decisões do filtro de pacotes. A aprtir dele, os pacotes podem serexcluídos, passados para o endereço desejado, ou passados para um servidorproxy de espera para um posterior processamento.Se a rede solicita a segurança do servidor proxy para alguns serviços, e a
velocidade e flexibilidade do filtro de pacote para outros tipos de serviços, ofirewall híbrido pode ser a melhor solução. Entretanto, este tipo de firewalltende a ser mais caro pelo fato de oferecer mais funcionalidades do que umsimples dispositivo, como um roteador.
19
Figura 4.1: Firewall de Tipo Híbrido
4.2 Firewalls Bastion Host
O bastion host desempenha papel crítico na segurança da rede interna. Eleprovê os recursos permitidos segundo a política de segurança da empresa.Consiste de um host fortemente protegido contra ataques, podendo ser partede um firewall. É o único computador da rede que pode ser acessado direta-mente pelo lado de fora do firewall. Este endurecimento é importante porqueo host é frequentemente colocado onde há exposição direta na internet.Um bastion host deve ter uma estrutura simples, de forma que seja fácil
garantir a segurança. É imporante que se esteja preparado para o fato deque o bastion host seja comprometido, considerando que ele, provavelmenteserá alvo de ataques.Um firewall ou um roteador podem ser considerados bastion hosts. Pode
ser projetado com a finalidade de ser servidorWeb, servidor FTP, entre outrasfunçoes que estiverem disponíveis a usuários de fora da proteção interna darede.
20
4.2.1 Funcionamento de um bastion host
A Figura 4.2 mostra um exemplo de um perímetro de rede que suporta umbastion host simples.
Figura 4.2: Firewall tipo Bastion Host
Na Figura, é possível observar que o serviço do firewall atual é compostopor uma combinação de dois roteadores e do bastion host. O filtro do roteadorexterno não é suportado pela rede interna ou pelo bastion host. O roteadorinterno limita todos os serviços não suportados pela rede interna. Ele servecomo uma proteção primária para a rede interna. O bastion host provêserviços para usuários externos tais como: servidor de e-mail, FTP anonimo,serviços de DNS, um ServidorWeb, etc. Em todo o perímetro da rede, podemhaver vários bastion hosts, cada um provendo um ou mais serviços.A idéia principal por trás dos bastion hosts é que eles são expansíveis e
que são configurados para resistirem a ataques.
21
4.2.2 Honey Pot
De maneira diferente, os bastion hosts também podem ser usados para seremchamariz para crackers, conhecido como “honey pot”. Sua função é atraira atenção de invasores com vulnerabilidades propositalmente deixadas paraque se possa coletar dados de eventuais tentativas de invasão e posteriorperseguição aos crackers. A sua configuração é totalmente diferente da deum computador comum. Devido ao seu papel de “escudeiro” da rede, todosos protocolos, programas e portas são removidos se não forem extritamentenecessários ao funcionamento. Todas as ferramentas e possibilidades de reg-istros de logs devem ser mantidos o mais seguras possível, evitando-se quealgum intruso possa apagar as evidências da invasão. Mesmo que seja inva-dido, o cracker ainda não possui acesso à rede interna, visto que terá quepassar por mais uma barreira, como o firewall, por exemplo.
22
Capítulo 5
Arquitetura de Firewalls
Uma arquitetura de firewall descreve onde deve-se situar os diversos compo-nentes que auxiliam para a proteção de uma rede de computadores. Existemduas principais arquiteturas de firewalls descritas na literatura sobre o as-sunto. Seus nomes são screened host e screened subnet (o termo screenedrefere-se a proteger, peneirar, investigar).
5.1 Screened host
Esta arquitetura é caracterizada por não possuir uma sub-rede de segurança,ou seja, a rede protegida esta diretamente conectada a rede externa, poten-cialmente a Internet. Nela existem apenas um roteador com capacidade defiltragem de pacotes e um bastion host que se situa junto à rede interna.A Figura 5.1 apresenta os elementos que formam esta arquitetura e suasposições na rede.Nesta figura observa-se que os equipamentos da rede interna não tem seus
pacotes de dados repassados diretamente para a rede externa. Ao invés disso,para terem acesso a um serviço, eles devem utilizar um procurador, nestecaso, mantido pelo bastion host. Outra característica, é que um computadorexterno não pode abrir conexão diretamente com elementos da rede interna,a não ser com o bastion host.As vantagens principais desta arquitetura é que ela oferece um nível mod-
erado de segurança, é relativamente fácil de configurar e dar manutenção eo acesso dos equipamentos clientes aos serviços proxy é rápido, já que quemo mantém está na rede interna . Como desvantagem, descreve-se o cuidado
23
Figura 5.1: Exemplo de screened host
que deve-se ter na construção e proteção do roteador, pois se este for com-prometido, acessos diretos a rede interna serão possíveis.Algumas observações sobre como ela satisfaz ou não às estratégias de
segurança estão abaixo:
• Least Privilege: pode ser observada quando os serviços são fornecidosexclusiva-mente via procuradores; entretanto, o fato do bastion hostestar situado na rede interna e além disso acumular privilégios de váriosservidores, pode ser um fator que vá contra o princípio do mínimoprivilégio devido a sua posição crítica.
• Defense in Depth: esta estratégia não é satisfatória, principalmenteporque basta que um dos computadores, roteador ou servidor, sejacomprometido, para que toda a rede interna esteja ao alcance do ata-cante.
• Choke Point: o roteador realiza este papel nesta arquitetura.• Weakest link: o bastion host é o alvo mais visado pelos atacantes porqueele é o servidor de diversos serviços e está junto a rede interna.
• Fail Safe: esta não é uma arquitetura que permite falhas seguras deuma forma geral. Visto que basta comprometer o bastion host para teracesso a rede interna.
24
• Diversity of Defense: pouco ou nenhuma oportunidade de se aplicaresta estratégia, pois há um único roteador.
5.2 Screened Subnet
Esta arquitetura apresenta múltiplos níveis de redundância e é a mais se-gura que se pode conceber em termos de arquiteturas de firewall, pois aplicaconceitos de segurança desde a camada de rede até a de aplicação. Os com-ponentes da arquitetura screened subnet estão descritos abaixo e podem servisualizados na Figura 5.2:
• Zona desmilitarizada (DMZ): constitui-se em uma sub-rede situada en-tre a rede interna e a rede externa (Internet);
• Roteador externo: equipamento conectado à Internet (rede externa) eà rede intermediária;
• Roteador interno: diretamente conectado a rede interna e a rede inter-mediária;
• Bastion hosts: equipamentos localizados na rede intermediária (redede perímetro).
Para o tráfego externo, o roteador mais externo oferece proteção contraos ataques externos mais comuns, bem como gerencia o acesso da Internetà subrede DMZ. Somente o bastion host (ou, às vezes, o servidor público,dependendo da rigidez da política de segurança deste) está disponível paraacesso. Já o roteador interno provê uma segunda linha de defesa, geren-ciando o acesso da subrede DMZ à rede interna, aceitando somente o tráfegooriginado no bastion host.Para o tráfego de saída, as regras são semelhantes. Os sistemas internos à
rede privada somente têm acesso ao bastion host, através do controle exercidopelo roteador interno. E as regras de filtragem do roteador externo exigem ouso de serviços proxy para o acesso à Internet, ou seja, só permitem o tráfegoexterno que se origina do bastion host.Este arranjo traz diversos benfícios importantes: três níveis de segurança
(roteador externo, bastion host e roteador interno) separam a Internet domeio interno; somente a subrede DMZ é conhecida na Internet, de modo
25
Figura 5.2: Exemplo de screened subnet
que não há meio de se conhecerem rotas de acesso à rede interna; da mesmaforma, somente a subrede DMZ é conhecida para a rede interna e não existemrotas diretas para o acesso à Internet.A implementação desta arquitetura pode exigir muitos custos. Outra
maneira de posicionar os componentes desta arquitetura é utilizar um únicoroteador com três interfaces. A primeira interface deste roteador realizaconexão com a Internet, a outra com a rede intermediária e a última, coma rede interna. Como principal desvantagem apresentada, esta abordagemconcentra uma grande complexidade de filtragem de pacotes no roteador.
26
Capítulo 6
Conclusão
Firewalls vêm protegendo redes locais privadas de intrusos hostis a partir dainternet, de modo que o números de LANs hoje conectadas à Web é muitomaior do que se esperaria, dados os riscos de segurança envolvidos. Estessistemas permitem aos administradores de redes oferecer acesso a serviçosespecíficos da internet a usuários internos selcionados, como parte de umapolítica de gerenciamento de informação que envolve não apenas a proteçãoda informação interna como também o conhecimento de quem acessa o quena Web.É importante salientar que não apenas o firewall deve ser o único compo-
nente da política de segurança em uma empresa. Juntamente com o firewalldeve ser criado um programa de conscientização dos funcionários que utilizama rede para evitar problemas de origem interna.Todos os tipos de firewalls descritos neste relatório estão em uso atual-
mente, o que mostra que não existe um firewall melhor. O melhor firewallpara um ambiente depende de vários fatores, incluindo o nível de conheci-mento do administrador de firewall, os tipos de serviços suportados, o orça-mento e a necessidade organizacional da empresa. Antes de escolher qualtipo de firewall vai de encontro às necessidades do cliente, deve ser avaliadoas ameaças para a intranet em questão. Também é preciso desenvolver umapolítica de segurança.A mais importante consideração em relação à escolha são os tipos de
serviços planejados para serem suportados pelo firewall. Por exemplo, se édesejado dar suporte a FTP, Telnet, e-mail e HTTP. Cada serviço tem seuspróprios conjuntos de vulnerabilidade e possíveis configurações.
27
Bibliografia
[1] Amoroso, E.; Sharp, R. PCWeek Intranet and Internet FirewallStrategies. Ed. Ziff-Davis, Califórnia - USA, 1996.
[2] Tanenbaum, A. S. Redes de Computadores. Ed. Campus, São Paulo- Brasil, 1999.
[3] Zwicky, E; Cooper, Simon . Contruindo Firewalls para a Internet.Ed. O´Reilly, 2000.
[4] Oliveira, W. Segurança da Informação. Ed. Visual Books, 2001.
28
