Académique Documents
Professionnel Documents
Culture Documents
Implantao de Firewalls:
Teoria e Prtica
Teoria e Prtica
Implantao de Firewalls:
Implantao de Firewalls:
Teoria e Prtica
Teoria e Prtica
Vincius Serafim Vincius Serafim
serafim@inf.ufrgs.br serafim@inf.ufrgs.br
GSeg
GSeg
UFRGS UFRGS
2
GSeg
UFRGS
Programao Programao
Programao Programao
Tecnologias Tecnologias
Arquiteturas Arquiteturas
Implementao Implementao
Building Internet Firewalls" #nd $dition Building Internet Firewalls" #nd $dition
% $li&a'et( )* +wic,-" .imon /ooper e )* Brent /(apman
% O01$ILL2
% I.B34 567879#6:;56;
% <. =>>*97
$ %ue & um Firewall'
$ %ue & um Firewall'
$ %ue & um Firewall'
$ %ue & um Firewall'
Vincius Serafim Vincius Serafim
serafim@inf.ufrgs.br serafim@inf.ufrgs.br
GSeg
GSeg
UFRGS UFRGS
5
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
Introduo Introduo
O que um Firewall 3?O pode a&er? O que um Firewall 3?O pode a&er?
Eecanismo 'astante eetiCo para segurana de rede Eecanismo 'astante eetiCo para segurana de rede
Foco para decisIes reerentes J segurana Foco para decisIes reerentes J segurana
@roteger a rede de pacotes que no passam por ele @roteger a rede de pacotes que no passam por ele
% modems em m!quinas internas
% outros lin,s
$ %ue um Firewall *+$ pode fa)er' $ %ue um Firewall *+$ pode fa)er'
$ %ue um Firewall *+$ pode fa)er' $ %ue um Firewall *+$ pode fa)er'
F
11
GSeg
UFRGS
$ %ue um Firewall *+$ pode fa)er' $ %ue um Firewall *+$ pode fa)er'
$ %ue um Firewall *+$ pode fa)er' $ %ue um Firewall *+$ pode fa)er'
@roteger contra ameaas completamente noCas @roteger contra ameaas completamente noCas
3o ornecem 'oa proteo contra CFrus 3o ornecem 'oa proteo contra CFrus
% tarea complicada
muitos ormatos existentes de arquiCos execut!Ceis
muitas maneiras de transmitir um desses arquiCos
%
mel(or proteo utili&ar um antiCFrus em cada m!quina
Auto6conigurao Lno Auto6conigurao Lno plug & play plug & playM M
%
qualquer irewall exige algum nFCel de conigurao
12
GSeg
UFRGS
Pro"lemas com Firewalls Pro"lemas com Firewalls
Pro"lemas com Firewalls Pro"lemas com Firewalls
Firewalls 3?O resolCem o pro'lema da segurana Firewalls 3?O resolCem o pro'lema da segurana
%
outros mecanismos precisam ser utili&ados Lex*4 (ost
securit-M
13
GSeg
UFRGS
Pr&,re%uisitos para seguirmos adiante Pr&,re%uisitos para seguirmos adiante
Pr&,re%uisitos para seguirmos adiante Pr&,re%uisitos para seguirmos adiante
@ode tratar protocolos do nFCel de transporte LportasM @ode tratar protocolos do nFCel de transporte LportasM
% T/@
% <)@
@ode tratar protocolos do nFCel de aplicao @ode tratar protocolos do nFCel de aplicao
%
BTT@
%
.ET@
%
FT@
Tecnologias
Tecnologias
Tecnologias
Tecnologias
Vincius Serafim Vincius Serafim
serafim@inf.ufrgs.br serafim@inf.ufrgs.br
GSeg
GSeg
UFRGS UFRGS
17
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
AIes tomadas depois de um pacote ser Ceriicado AIes tomadas depois de um pacote ser Ceriicado
% $ncamin(ar o pacote para o destino LAllowM
% $liminar o pacote L)rop" )en-M
% 1eAeitar o pacote" enCiando um erro para o emissor do
pacote L1eAectM
% 1egistrar os dados do pacote LLogM
% inDmeras outras
20
GSeg
UFRGS
Filtragem de Pacotes Filtragem de Pacotes
Filtragem de Pacotes Filtragem de Pacotes
Oantagens Oantagens
% um roteador com iltragem pode proteger toda uma rede
% extremamente eiciente" principalmente stateless
% largamente disponFCel" pode ser encontrado em
roteadores" em'utido em .Os" sotwares especFicos" ***
)esCantagens )esCantagens
% complicado conigurar um iltro de pacotes
% diFcil de testar
% redu& a perormance do roteamento
% algumas Ce&es altam recursos para implementar algumas
regras deseAadas
23
GSeg
UFRGS
Pro./ Ser0ices Pro./ Ser0ices
Pro./ Ser0ices Pro./ Ser0ices
@odem reali&ar iltragens 'aseados nos dados do @odem reali&ar iltragens 'aseados nos dados do
protocolo de aplicao protocolo de aplicao
%
ex*4 BTT@
nome do site
conteDdo da p!gina
tipo de acesso T$TK@O.T
etc*
% ex*4 .ET@
e6mail do remetente
e6mail do destinat!rio
comandos .ET@
conteDdo de um e6mail
25
GSeg
UFRGS
Pro./ Ser0ices Pro./ Ser0ices
Pro./ Ser0ices Pro./ Ser0ices
Oantagens Oantagens
% nFCel mais apurado de registro LlogM
% iltragem mais inteligente
% pode reali&ar autenticao de usu!rio
% protege clientes de Qpacotes nociCosR
% pode reali&ar caching
)esCantagens )esCantagens
%
cada serCio requer um prox- especFico
%
alguns serCios" principalmente os noCos" no tem prox-
disponFCel
%
nem sempre transparente para o usu!rio
@rox-
.ite
26
GSeg
UFRGS
*etwor1 Address Translation 2*AT3 *etwor1 Address Translation 2*AT3
*etwor1 Address Translation 2*AT3 *etwor1 Address Translation 2*AT3
Operao Operao
%
altera dados do pacote
normalmente endereo e porta de origem
em alguns casos endereo e porta de destino L)estination
3ATM
3AT
59#*58:*5*5G 4 5G>U 5>U*7>*#U*5G 4 >GUG 59#*58:*5*5G 4 5G>U 5>U*7>*#U*5G 4 >GUG
59#*58:*5*5> 4 #GU# 5>U*7>*#U*5G 4 >GUU 59#*58:*5*5> 4 #GU# 5>U*7>*#U*5G 4 >GUU
28
GSeg
UFRGS
*etwor1 Address Translation 2*AT3 *etwor1 Address Translation 2*AT3
*etwor1 Address Translation 2*AT3 *etwor1 Address Translation 2*AT3
Oantagens Oantagens
% aAuda a reorar o controle do irewall
os endereos internos no uncionam na rede externa" assim"
qualquer conexo de dentro para ora depende de auxFlio do
irewall
somente pacotes relatiCos Js conexIes iniciadas internamente
conseguem Cir da rede externa
%
oculta a estrutura LconiguraoM da rede interna
29
GSeg
UFRGS
)esCantagens )esCantagens
%
o 3AT altera dados do pacote" isso pode intererir em
alguns protocolos" pode diicultar o registro LlogM de
atiCidades e pode ainda intererir na iltragem de pacotes
% maior carga no equipamento
*etwor1 Address Translation 2*AT3 *etwor1 Address Translation 2*AT3
*etwor1 Address Translation 2*AT3 *etwor1 Address Translation 2*AT3
32
GSeg
UFRGS
Eas o irewall um 'om lugar para a criao de uma Eas o irewall um 'om lugar para a criao de uma
O@3 O@3
%
controla todo o tr!ego de entradaKsaFda
%
um irewall no consegue controlar tr!ego A! cirado
Virtual Pri0ate *etwor1 2VP*3 ' Virtual Pri0ate *etwor1 2VP*3 '
Virtual Pri0ate *etwor1 2VP*3 ' Virtual Pri0ate *etwor1 2VP*3 '
Firewall
Ar%uiteturas
Ar%uiteturas
Ar%uiteturas
Ar%uiteturas
Vincius Serafim Vincius Serafim
serafim@inf.ufrgs.br serafim@inf.ufrgs.br
GSeg
GSeg
UFRGS UFRGS
34
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
.ingle6Box .ingle6Box
% 'aseados em apenas um equipamento
% arquitetura 'astante comum
% mais 'arata" mais simples" menos segura
% ponto Dnico de al(a
Eultiple6Boxes Eultiple6Boxes
% composta por um conAunto de equipamentos
% custo pode ser muito maior dependendo da soluo
adotada
% mais complexa" 'em mais segura
% ornece C!rios nFCeis de deesa
% so inDmeros os arranAos possFCeis
36
GSeg
UFRGS
/ada am'iente exige um irewall especialmente /ada am'iente exige um irewall especialmente
proAetado proAetado
3o preciso a&er tudo de uma Ce&" nem se deCe 3o preciso a&er tudo de uma Ce&" nem se deCe
Algumas AonsideraBes Algumas AonsideraBes
Algumas AonsideraBes Algumas AonsideraBes
Implementao
Implementao
Implementao
Implementao
Vincius Serafim Vincius Serafim
serafim@inf.ufrgs.br serafim@inf.ufrgs.br
GSeg
GSeg
UFRGS UFRGS
47
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
<m caso para no ser seguido <m caso para no ser seguido
Wualquer soluo exige pelo menos os seguintes Wualquer soluo exige pelo menos os seguintes
con(ecimentos con(ecimentos
% como unciona a soluo empregada
% uncionamento dos protocolos a serem iltrados
<nix oi um dos primeiros Lo primeiroM a ornecer os <nix oi um dos primeiros Lo primeiroM a ornecer os
serCios necess!rios serCios necess!rios
BoAe temos inDmeras CariaIes do <nix e outros BoAe temos inDmeras CariaIes do <nix e outros
sistemas operacionais que tam'm ornecem esses sistemas operacionais que tam'm ornecem esses
serCios serCios
<sar o 3T para construir um irewall apenas mais <sar o 3T para construir um irewall apenas mais
diFcil diFcil
% <nix oi um dos primeiros a implementar o T/@KI@" o que
resulta em cerca de #G anos de uso e correIes
% Y! o 3T implementou o T/@KI@ do &ero" erros A! corrigidos
no <nix e que no existiam apareceram
% O Vindows 3T uma caixa preta" as coisas oram eitas
para uncionarem sem que os administradores sai'am como
A m!xima4 use o que CocZ A! con(ece A m!xima4 use o que CocZ A! con(ece
51
GSeg
UFRGS
Pro-etando um Firewall Pro-etando um Firewall
Pro-etando um Firewall Pro-etando um Firewall
$tapas $tapas
% )einir suas necessidades
% ACaliar os produtos disponFCeis
% $studar como Auntar os produtos
52
GSeg
UFRGS
Pro-etando um Firewall Pro-etando um Firewall
Pro-etando um Firewall Pro-etando um Firewall
Bac,up Bac,up
% prox-
% iltros de pacotes LseAa roteador ou @/M
Eonitoramento Eonitoramento
% de recursos do sistema Ldisco" memPria" cpuM
% de logs
algum tentou Carrer as portas de um serCidor
algum tentou algum tipo de ataque
mensagens de erro
pacotes reAeitados
%
um Sistema de Deteco de Intruso LI).M pode ser
utili&ado
%
Ceriicar se o sistema oi comprometido
57
GSeg
UFRGS
?antendo um Firewall ?antendo um Firewall
?antendo um Firewall ?antendo um Firewall
Atuali&ao Atuali&ao
% OocZ
componente mais importante a ser atuali&ado
noCos 'ugs
noCos ataques
mel(oramento de tecnologias
noCas tecnologias
Onde? 3a I3T$13$T Lex*4 www*securit-ocus*orgM
%
Firewall
se CocZ A! est! atuali&ado o resto !cil
nem sempre a atuali&ao necess!ria
teste antes de atuali&ar o irewall em uso
todos os testes deCem ser eitos o6line
58
GSeg
UFRGS
Dm caso para no ser seguido Dm caso para no ser seguido
Dm caso para no ser seguido Dm caso para no ser seguido
Atacante com con(ecimento &ero so're o alCo Atacante com con(ecimento &ero so're o alCo
% dados coletados no )3.
% portas dos serCidores expostos oram Carridas sem
nen(uma preocupao com deteco" e de ato nada oi
detectado
$ncontrado serCio @O@ Culner!Cel em um FreeB.) $ncontrado serCio @O@ Culner!Cel em um FreeB.)
% explorao da al(a resultou em acesso J conta root
% instalao de 'ac,door operando em portas acima de 5G#U"
roteador no iltraCa acima disso
59
GSeg
UFRGS
Dm caso para no ser seguido Dm caso para no ser seguido
Dm caso para no ser seguido Dm caso para no ser seguido
[ernel teCe que ser recompilado para (a'ilitar a [ernel teCe que ser recompilado para (a'ilitar a
captura de pacotes da rede por um sniing captura de pacotes da rede por um sniing
% noCo ,ernel instalado e ningum notou a dierena
% sen(as capturadas
.<1@1$.A\\\ Todas as contas root dos serCidores Ci&in(os e
dos roteadores tin(am a mesma sen(a" e usaCam telnet para
gerenciamento remoto
1esultados 1esultados
%
inCaso durou mais de 5 ano sem qualquer deteco
%
7 serCidores e # roteadores completamente comprometidos
%
poderia ter ocorrido uma mudana dr!stica na Cida dos
administradores
60
GSeg
UFRGS
Dm caso para no ser seguido Dm caso para no ser seguido
Dm caso para no ser seguido Dm caso para no ser seguido
61
GSeg
UFRGS
Dm caso para no ser seguido Dm caso para no ser seguido
Dm caso para no ser seguido Dm caso para no ser seguido
Vindows Vindows
% Wual Cerso do Vindows?
U*G" U*55" 97" 9:" ]wor,station" release candidates4 *+$E
*D*AAE IA?AIS
CersIes recentes" est!Ceis e especiicamente para serCidores"
ex*4 Vindows 3T .erCer" Vindows #GGG .erCer
% .istema de Log
no suporta log remoto
perder os Dltimos registros ou no registrar mais?
66
GSeg
UFRGS
!astion =osts !astion =osts
!astion =osts !astion =osts
Vindows Vindows
% .istema de Log
recomenda6se o uso de programas auxiliares
Para a mquina desligar quando o log encer! "asta colocar o #alor 1 nesta ca#e$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%-ontrol%+sa%-ras,nAudit2ail
Para a mquina desligar quando o log encer! "asta colocar o #alor 1 nesta ca#e$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%-ontrol%+sa%-ras,nAudit2ail
Para trocar a locali3a45o dos tr6s arqui#os de log 7application! system e security8$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%1er#ices%(#ent+og
Para trocar a locali3a45o dos tr6s arqui#os de log 7application! system e security8$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%1er#ices%(#ent+og
Para n5o perder os 9ltimos logs$ # no menu de con:igura45o do ;isuali3ador de
e#entos 7(#ent ;iewe8 e selecione a op45o <Do 0ot ,#erwrite (#ents=
Para n5o perder os 9ltimos logs$ # no menu de con:igura45o do ;isuali3ador de
e#entos 7(#ent ;iewe8 e selecione a op45o <Do 0ot ,#erwrite (#ents=
67
GSeg
UFRGS
!astion =osts !astion =osts
!astion =osts !astion =osts
Vindows Vindows
% )esa'ilitando serCios
.erCices control panel
)eCices control panel Lalguns serCios so implementados
desta maneiraM
remoCer o execut!Cel? 3em sempre
+ista de todos os ser#i4os em ordem al:a">tica$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%1er#ices
+ista de todos os ser#i4os em ordem al:a">tica$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%1er#ices
68
GSeg
UFRGS
!astion =osts !astion =osts
!astion =osts !astion =osts
Vindows Vindows
% )esa'ilitando serCios
O que desa'ilitar?
% )3.
% T/@KI@ @rinting
% 3etBIO. interace
% 1emote Access .erCice LsP ser or utili&ar O@3M
% .erCer
% .imple T/@KI@ serCices Lec(o" c(argen" discard" da-time" quotdM
% .3E@ serCice Lse or utili&ar use no mFnimo 3T> .@>M
% 1outing L@rotocols ^ T/@KI@ ^ 1outing ^ $na'le I@ ForwardingM
%
1ecomendao4 /ompre o 1esource [it\\\
Firewalls usando Cinu.
Firewalls usando Cinu.
Firewalls usando Cinu.
Firewalls usando Cinu.
Vincius Serafim Vincius Serafim
serafim@inf.ufrgs.br serafim@inf.ufrgs.br
GSeg
GSeg
UFRGS UFRGS
70
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
I@/(ains I@/(ains
3etFilter 3etFilter
71
GSeg
UFRGS
IPAJains IPAJains
IPAJains IPAJains
@resente no Linux a partir do ,ernel #*5*5G# @resente no Linux a partir do ,ernel #*5*5G#
/ada lista tem uma polFtica deault /ada lista tem uma polFtica deault
% A//$@T
% 1$Y$/T
% )$32
Listas podem ser criadas para mel(or organi&ar as Listas podem ser criadas para mel(or organi&ar as
regras regras
/ada regra tem um dos seguintes alCos /ada regra tem um dos seguintes alCos
%
A//$@T" 1$Y$/T" )$32
%
EA.W
73
GSeg
UFRGS
IPAJains IPAJains
IPAJains IPAJains
/omo os pacotes passam pelos iltros*** /omo os pacotes passam pelos iltros***
R
I*PDT F$RFAR> $DTPDT
Processos Cocais
IF IF
74
GSeg
UFRGS
IPAJains IPAJains
IPAJains IPAJains
1eerZncias 1eerZncias
% Firewall and @rox- .erCer BOVTO
% Linux I@/BAI3.6BOVTO
% Linux I@ Easquerade BOVTO
% todos podem ser encontrados em Jttp:KKwww7linu.doc7org
75
GSeg
UFRGS
*etFilter *etFilter
*etFilter *etFilter
@resente no Linux a partir do ,ernel srie #*>*x @resente no Linux a partir do ,ernel srie #*>*x
% em desenColCimento" mas A! em uso
% compatFCel com ipc(ains e ipwadm
Onde 'uscar mais inormaIes LBOV6TOsM Onde 'uscar mais inormaIes LBOV6TOsM
% (ttp4KKnetilter*sam'a*org
!urlando um firewall
!urlando um firewall
!urlando um firewall
!urlando um firewall
Vincius Serafim Vincius Serafim
serafim@inf.ufrgs.br serafim@inf.ufrgs.br
GSeg
GSeg
UFRGS UFRGS
82
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
Tunneling Tunneling
83
GSeg
UFRGS
Dso de portas altas Dso de portas altas
Dso de portas altas Dso de portas altas
@ortas acima de 5G#U so utili&adas para @ortas acima de 5G#U so utili&adas para
disponi'ili&ao de serCios disponi'ili&ao de serCios
<so de uma porta priCilegiada como porta de origem <so de uma porta priCilegiada como porta de origem
3ormalmente so permitidas Lex*4 BTT@" FT@" @O@M 3ormalmente so permitidas Lex*4 BTT@" FT@" @O@M
$xemplo $xemplo
%
pode6se instalar um QserCidorR que tenta conectar6se com
um determinado QclienteR em alguns (or!rios pr6deinidos*
86
GSeg
UFRGS
Tunneling Tunneling
Tunneling Tunneling
/onsiste em utili&ar um protocolo permitido para a'rir /onsiste em utili&ar um protocolo permitido para a'rir
conexIes no permitidas conexIes no permitidas
@rotocolos como I/E@ e BTT@ podem ser utili&ados @rotocolos como I/E@ e BTT@ podem ser utili&ados
$x*4 $x*4
%
(ttptunnel
% icmp ile transer