Java Prolog Java x Prolog A integração entre dois mundos Carlos Figueira Filho [email protected].
FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França...
Transcript of FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França...
FIREWALLS
Cristina Dutra de Aguiar Ciferri
Ricardo Rodrigues Ciferri
Sônia V. A. França
cdac,rrc,[email protected]
Firewalls
• Simples pontos de conexão entre duas redes não confiáveis
• Permitem que a comunicação seja monitorada e segura
• Propriedades– todo tráfego deve passar pelo firewall– somente o tráfego autorizado pode passar– o firewall propriamente dito é imune de
invasões
Internet
rede interna
FirewallFirewallsistema de firewall:• roteador• PC• sistema Unix• conjunto de hosts
baseado em: • hardware• software
Firewall
• Seguro– não é um host de propósito geral
• Ponto central para administração de serviços– correio eletrônico– ftp
• Garante política de segurança
Firewall
• Foco de decisões de segurança– mais eficiente do que espalhar decisões e
tecnologias de segurança
• Permite rastreamento– origem das conexões– quantidade de tráfego no servidor – tentativa de quebra do sistema
• Limita a exposição
FirewallNão oferece proteção contra:
• Ataques internos maliciosos
• Conexões que não passam pelo firewall
• Ameaças totalmente novas
• Vírus
Tecnologia
• Estática– permitir qualquer serviço a menos que ele seja
expressamente negado– negar qualquer serviço a menos que ele seja
expressamente permitido
• Dinâmica– permitir/negar qualquer serviço para quando e
por quanto tempo desejar
Componentes
Gateway(s)
Filtro Filtro
Internetrede
interna
• zona desmilitarizada (DMZ)• gateway + gateway interno
protege a rede interna das consequências de um gateway comprometido
protege o gateway de ataques
• também chamado de screen (screening router)
• bloqueia transmissão de certas classes de tráfego
• uma máquina• conjunto de máquinasque oferece(m) serviços através de proxy
Packet Filtering
• Funcionalidade– roteia pacotes entre hosts internos e externos de
maneira seletiva– permite ou bloqueia a passagem de certos tipos
de pacotes– reflete a política de segurança do site
• Filtragem– quando o pacote está chegando– quando o pacote está saindo
Packet Filtering
• Filtragem baseada em– endereços fonte e destino– portas fonte e destino– protocolo– flags– tipo da mensagem
• Exemplos– bloqueie todas as conexões oriundas do host X– permita apenas conexões SMTP
rede interna
Internet
screening router
Packet FilteringScreening Router
• determina se pode ou não enviar o pacote
• determina se deve ou não enviar o pacote
Como o pacote pode ser roteado?
O pacote deve ser roteado?
Router• verifica endereço de
cada pacote• escolhe melhor
maneira de enviá-lo
Como o pacote pode ser roteado?
Configuração
Processo de três passos:
• Determinar o que deve e o que não deve ser permitido– política de segurança
• Especificar formalmente os tipos de pacotes permitidos– expressões lógicas
• Reescrever as expressões de acordo com o produto
Exemplo• Passo 1
– tráfego IP: host externo confiável (172.16.51.50) e hosts da rede interna (192.168.10.0)
• Passo 2
Regra Direção Fonte Destino ACK Ação
A inbound 172.16... interna qualquer permitir
B outbound interna 172.16.... qualquer permitir
C ambas qualquer qualquer qualquer negar
Exemplo
• Passo 3– Screend
• between host 172.16.51.50 and net 192.168.10 accept;
• between host any and host any reject;
– Telebit NetBlazer• permit 172.16.51.50/32 192.168.10/24 syn0 in
• deny 0.0.0.0/0 0.0.0.0/0 syn0 in
• permit 192.168.10/24 172.16.51.50/32 syn0 out
• deny 0.0.0.0/0 0.0.0.0/0 syn0 out
Filtragem por Endereço• Características
– restringe o fluxo de pacotes baseado nos endereços fonte e destino
– não considera quais protocolos estão envolvidos
• Utilização– permite a comunicação hosts externos e hosts
internos
• Problema– endereços podem ser inventados
Internet
rede interna
FirewallFirewall
Telnet Server
Telnet Client
OUTGOING
IP fonte: cliente localIP destino: servidorserviço: TCPporta fonte: >1023 (Y)porta destino: 23 (telnet)pacotes:
• 1: sem ack• demais: com ack
Filtragem por Serviço
Outbound
Internet
rede interna
FirewallFirewall
Telnet Server
Telnet Client
INCOMING
IP fonte: servidorIP destino: cliente localserviço: TCPporta fonte: 23 (telnet)porta destino: >1023 (Y)pacotes: com ack
Filtragem por Serviço
Outbound
Internet
rede interna
FirewallFirewall
Telnet Client
Telnet Server
INCOMING
IP fonte: cliente remotoIP destino: servidorserviço: TCPporta fonte: >1023 (Z)porta destino: 23 (telnet)pacotes:
• 1: sem ack• demais: com ack
Filtragem por Serviço
Inbound
Internet
rede interna
FirewallFirewall
Telnet Client
Telnet Server
OUTGOING
IP fonte: servidorIP destino: cliente remotoserviço: TCPporta fonte: 23 (telnet)porta destino: >1023 (Z)pacotes: com ack
Filtragem por Serviço
Inbound
Filtragem por ServiçoDireçãoServiço
DireçãoPacote
End.Fonte
End.Destino
TipoPacote
PortaFonte
PortaDestino
ACK
outbound outgoing interno externo TCP Y 23 a
outbound incoming externo interno TCP 23 Y Yes
inbound incoming externo interno TCP Z 23 a
inbound outgoing interno externo TCP 23 Z Yes
Regra Direção End.Fonte
End.Destino
Protocolo
PortaFonte
PortaDestino
ACK Ação
A out interno qq TCP >1023 23 qq permitir
B in qq interno TCP 23 >1023 Yes permitir
C ambas qq qq qq qq qq qq negar
Packet Filtering
• Vantagens– pode ajudar a proteger uma rede inteira– não requer conhecimento ou cooperação do
usuário– disponível em vários roteadores– baixo custo
• Desvantagens.........
Application-Level Gateway
servidorreal
clienteinterno
cliente servidor
pedidopropagação do pedido
resposta propagação da resposta
proxy possui controle total
Circuit-Level Gateway
circuit-levelgateway
servidorcliente
porta destino
porta fonte TCP
IP
Acesso a Rede
Arquitetura de Firewalls
• Solução universal ?
• Problemas– quais serviços serão disponibilizados ?– qual o nível de risco ? – qual a política de segurança ?
• Técnicas– tempo, custo e conhecimento– TELNET e SMTP packet filtering– FTP e WWW proxy
Packet Filtering Architecture
• Screening Router é colocado entre uma rede interna e a Internet
• Controle do tráfego de rede: endereços IP, portas, protocolo, flags, ...
• Nenhuma mudança é requerida nas aplicações cliente e servidor (pacotes)
• Simples mais comum e fácil de usar em sites pequenos
• Mas ....
Packet Filtering Architecture• Problemas:
– falha compromete toda a rede interna – número de regras pode ser limitado– desempenho x número de regras– não é possível modificar serviços: permite ou
nega, mas não pode proteger operações individuais
– complexidade de configuração – tratamento de exceções– log dos pacotes que passaram
interfacede rede
interfacede rede
interfacede rede
Rede 2Rede 1 Rede 3
roteamento opcional
Dual-Homed Host ArchitectureMulti-Homed Host:
várias interfaces de rede (homes)
• Host: 2 interfaces de rede (interna e Internet)
• Função de roteamento desabilitada– pacotes não são roteados diretamente para outra
rede não permite comunicação direta entre a rede interna e a Internet
– isolamento de tráfego entre as redes
• Acessível – por hosts da rede interna – por hosts da Internet – requer alto nível de proteção
Dual-Homed Host Architecture
• Login diretamente no dual-homed host– acesso aos serviços através da interface de rede
externa (Internet)– segurança do sistema pode ser comprometida– vulnerabilidade de senhas– usuário pode habilitar serviços inseguros– dificuldade de monitoração e detecção de
ataques– baixo desempenho– oferecimento de serviços indesejáveis
Dual-Homed Host Architecture
servidorreal
clienteinterno
FTP proxy
interface interface
ILUSÃO
Internet
InternetFTP
Serviços “store-and-forward”: SMTP (mail) e NNTP (news)
mail proxy
Dual-Homed Host Architecture
Internet
screening router
rede interna
bastionhost
Screened Host Architecture
• Problemas– falha do roteador compromete segurança
oferecida pelo bastion host– ataque ao bastion host não há outra barreira
entre a Internet e a rede interna– visibilidade de tráfego interno: coleta de senhas
através de monitoração de seções telnet, ftp e rlogin, acesso a arquivos e/ou mails que estejam sendo lidos/acessados
Internet
rede interna
rede perimetral - DMZ
screening router externo
bastionhost
screening router interno
Screened Subnet Architecture
• Visibilidade do tráfego – via bastion host apenas para a DMZ– ideal: tráfego na DMZ não deve ser confidencial– dados devem ser protegidos por criptografia
• Serviços externos– via proxy– conexão direta via packet filtering
Internet
rede interna
DMZ interna
DMZ externa
externo
interno
intermediário
WWW/FTP
Múltiplos BHsInternet
rede interna
FTP
rede perimetral - DMZ
SMTP2WWW
desempenho, redundância, separação de dados e serviçosdesempenho, redundância, separação de dados e serviços
rede interna
externo
interno
bastion host
Internet
DMZ externa
DMZ interna
quebra não permite visibilidade do tráfego
da rede interna
Produtos Comerciais• Informações técnicas de produtos de firewall
– www.access.digex.net/~bdboyle/firewall.vendor.html
• Grande variedade– SecurIT www.milkyway.com/prod.html– Borderware www.securecomputing.com– Firewall-1 www.CheckPoint.com– ... Guardian www2.ntfirewall.com/ntfirewall
• Freestone: código fonte de produto comercial– www.soscorp.com/products/Freestone.html
Firewall-1
• É um sistema de segurança de rede para criação e gerenciamento de firewall TCP/IP.
• Possibilita que empresas construam suas próprias políticas de segurança.
• Instalado em um servidor de gateway, o Firewall-1 atua como um roteador seguro para passagem de tráfego entre companhias privadas e redes públicas.
Firewall-1
• Características: – Filtragem segura de pacotes; – Acesso seguro a Internet;– Acesso remoto seguro; – Redes Virtuais Privadas (VPN) para criar
seguros “túneis” através de redes públicas inseguras;
– Habilidade para definir a adicionar novos protocolos e serviços;
– Auditoria e alerta.
Firewall-1
• Vantagens:
– flexibilidade; – escalabilidade; – extensibilidade; – transparência; – suporte a múltiplos
protocolos e tecnologia de rede;
– pode ser distribuído sobre múltiplas plataformas;
– requerimentos de conectividade sem causar impacto a performance da rede.
Firewall-1
• Requerimentos:
Plataforma de hardware : Sun SparcIntel executando Solaris 2.4 ou versões superiores
Sistema Operacional : SunOs 4.1.3 ou SolarisWindows 95/Windows NT
Interface Gráfica : X11R5/Open LookEspaço em Disco : 15 MbMemória : 32 MbInterface de Rede : Interface padrão de SUN workstation
Firewall-1
• Arquitetura:– Atua como um roteador seguro entre uma rede
interna e uma rede externa.
FireWall-1Rede
ExternaRede
Interna
Internet
Firewall-1
• Arquitetura:– Módulo de Controle: inclui o módulo de
gerenciamento e interface para o usuário;
– Módulo FireWall: inclui o módulo de inspeção, deamons do FireWall-1 e segurança dos servidores. Implementa política de segurança, log dos eventos e comunica-se com o módulo de controle através de deamons.
• Arquitetura:
Firewall-1
Módulo de Inspeção
Deamon
Interface gráfica do usuário
Servidor de gerenciamento
Log/Alerta
Módulo FireWall Módulo de Controle
Logs/Alerta
StatusLogs/Alerta
Comandos
Login e Status
Canal de comunicação seguro
Gateway/FireWall
Estação de gerenciamento
• Arquitetura– Módulo de Controle
• Usado para implementar a política de segurança de rede;
• Controla o módulo de filtragem de pacotes;
• Pode ser usado como um facilidade para visualizar login e controle de informação.
• Gerenciador de Serviços: define os serviços que são conhecidos para o sistema e que estão especificados na política de segurança( Telnet, FTP, HTTP, UDP, etc)
Firewall-1
Firewall-1• Arquitetura
– Módulo FireWall• O módulo de inspeção é dinamicamente carregado
no kernel do sistema operacional, entre a camada 2 e 3. Ele faz o gerenciamento dos pacotes que entram e saem da rede.
• Possibilita ao administrador definir regras de segurança onde não apenas a comunicação com a fonte, destino e serviços são verificados, mas o usuário também é autenticado.
• Rejeição de e-mails, acesso negado a URLs e checagem da vírus nas transferências de arquivos.
Firewall-1
7 Aplicação
6 Apresentação
5 Sessão
4 Transporte
3 Rede
2 Enlace
1 Física
Passar o
Pacote?
Opcional: log/Alerta
Pacote recebido
O pacote esta dentro das regras?
Mais alguma regra?
Enviar NACK
Pacote descartado
Sim
Sim
Sim
NãoNão
Não
Não
Firewall-1
7 Aplicação
6 Apresentação
5 Sessão
4 Transporte
3 Rede
2 Enlace
1 Física
Passar o Pacote?
Opcional: log/Alerta
Pacote recebido
O pacote esta dentro das regras?
Mais alguma regra?
Enviar NACK
Pacote descartado
Sim
SimNão
Não
Não
Setar a próxima
regra
Sim
Não
• Performance– Emprega diversas técnicas de otimização
• Rodando dentro do kernel do sistema operacional reduz processamento;
• otimização na filtragem de pacotes reduz o tempo gasto para executar as ações da filtragem;
• técnicas de gerenciamento de memória prove rápido acesso a recursos da rede.
Firewall-1
Conclusões
• Firewalls– maturidade tecnológica– política de segurança é garantida em um único
componente lógico– quanto maior o grau de segurança oferecido,
maiores os custos associados e menor a flexibilidade no oferecimento de serviços
– não substimar o tempo de implantação de um firewall, mesmo quando este for comprado. Não existe firewall “plug and play”