Tweet
Firewall Componentes de um firewall
Julho 31, 2009 at 2:06 pm (Firewalls)
Texto desenvolvido por Edgard Lemos
O Firewall é um dispositivo formado por um ou mais equipamentos, incluindo software e/ou hardware, projetado para proteger uma rede dos intrusos que possam estar em qualquer lugar da Internet.
O Componentes MÍNIMOS de um firewall são:
- Filtro de Pacotes
- NAT
- Proxy
Os componentes adicionais são:
- VPN (Virtual Private Network)
- Autenticação Criptografada
O objetivo principal do firewall é a segurança das fronteiras do sistema a ser protegido. É bom lembrar que o firewall não deve ser a única providência de segurança, mas é apenas uma ferramenta que deve ter seu papel dentro da política de segurança de uma empresa.
Do ponto de vista técnico, para se estabelecer um firewall é necessário: (a) configurar o sistema operacional ao recurso mínimo, retirando todos os serviços e arquivos desnecessários. (b) O firewall deve ser uma máquina separada e todos os serviços devem ser separados em máquinas diferentes (HTTP, FTP, Telnet, etc.). (c) Também deve-se prover um único ponto de entrada e saída de dados. Quanto menos portas mais fácil fica o controle. (d) Eliminar banners de logon.
2 Como escolher um firewall
Na hora de escolher uma solução de firewall deve-se levar em conta os
seguintes aspectos:
- Segurança. Não confiar demais no sistema operacional. Alguns softwares de firewall específicos, porém, corrigem falhas comuns de configuração do sistema operacional. Mas é sempre uma boa idéia o administrador de rede configurar ele mesmo o sistema operacional de modo a deixá-lo mais robusto.
- Interface. Alguns firewalls exigem muito estudo de configurações e usam telas de console para configuração, o que pode exigir o conhecimento de comandos complicados. Outros firewalls apresentam interfaces gráficas intuitivas para a configuração.
- Integração. Alguns firewalls não permitem que se faça configuração a partir de um ponto centralizado, exigindo que o administrador os configure um a um fisicamente.
- Recursos de Segurança. Muitos firewalls oferecem serviços adicionais como VPN e autenticação criptografada.
- Recursos de Serviços. Alguns firewalls incluem serviços como FTP, Telnet,HTTP. Porém, além de esses serviços serem um tanto desatualizados, eles podem representar oportunidades para falhas de segurança.
3 Problemas que os firewalls não resolvem.
(a) Engenharia Social.
Um usuário de uma das filiais da empresa pede um arquivo em CAD de um novo projeto ultra-secreto da empresa. O usuário é conhecido. O funcionário ingenuamente anexa o arquivo na mensagem de aperta o botão “Responder”.
O funcionário não verificou se o endereço de email para resposta é o mesmo de quem enviou. Isso porque a maioria das pessoas não verifica o campo do endereço de resposta. Essa campo pode ser facilmente modificado por uma interceptação da mensagem. Ou pior ainda, o remetente pode ser falsificado.
(b) Modems instalados em estações de trabalho
Muitas empresas usam modems conectados aos seus micros porque muitos micros
vêm de fábrica com modems.
O usuário conecta o modem a sua própria linha telefônica e usa para burlar a segurança para fazer bate-papo, baixar arquivos, acessar páginas proibidas pela empresa, etc.
4 Medidas adicionais para colaborar com a segurança do firewall
(a) Reduza o número de pontos de conexão com a Internet. Algumas empresas só permitem uma conexão por filial. Outras centralizam toda a comunicação através da matriz.
(b) Desabilite a porta COM na BIOS dos computadores para evitar conexão com modem e estabeleça uma senha de acesso à bios.
(c) Desabilite o compartilhamento de arquivos entre estações de trabalho. Incentive os usuários a guardarem seus arquivos nos servidores da rede.
(d) Jamais terceirize a segurança de sua empresa no provedor.
- Você não conhece os funcionários do provedor.
- A motivação do provedor pode não coincidir com a sua. Especialmente em disputas judiciais.
- Não há controle das responsabilidades.
5 Esquemas de firewalls
5.1 Um único firewall
(a) Rede Interna —-Firewall—-Servidor Públicos—-Roteador—–Internet
Desvantagens, servidores públicos ficam à mercê dos invasores.
(b) Rede Interna—–Servidor Públicos—-Firewall—–Internet
Pacotes podem ser falsificados para dentro da rede interna.
5.2 Zona desmilitarizada
Rede Interna—Firewall—Servidores Públicos—-Firewall——Internet
O primeiro firewall tem de ter uma segurança maior que o segundo
5.3 Rede desconectada
Rede Interna Servidores Públicos—-Firewall—-Internet
6 Filtro de Pacotes
Tipos:
-Padrão
-Inspeção de Estado
6.1 Padrão
Baseia-se na informação contida nos cabeçalhos dos pacotes TCP/IP. Os tipos de informações mais comuns usadas por estes filtros de pacotes são:
- Tipo de protocolo
- Endereço IP
- Porta TCP/UDP
- Número do fragmento
- Informação de roteamento de origem
6.1.1 Filtragem de Protocolo
UDP
TCP
ICMP
IGMP
6.1.2 Filtragem de endereços IP
ACLs (deny, allow)
Endereços IPs forjados
6.1.3 Filtragem de Portas TCP/UDP
Através do número da porta TCP/UDP é possível restringir o acesso a certos serviços tais como
Daytime
Echo
Quote
FTP
telnet
SMTP
DNS
HTTP
Gopher
POP
SNMP
NNTP
Sessão NetBIOS
IMAP
nfs
Whois
RSH
Exemplo: você pode negar a conexão a todas as portas TCP/UDP exceto porta TCP 80 (HTTP), TCP 25 (correio), TCP 21 (FTP).
Protocolos para os quais se deve atentar:
Telnet – Esta porta aberta permite que os hackers abram um terminal de linha de comando com acesso amplo a sua máquina.
Sessão NetBIOS – Esta porta aberta em servidors Windows ou SAMBA permite que os hackers se conectem em seus servidores como se estivessem localmente.
POP – Você deve implementar uma conexão VPN para clientes remotos que precisem acessar sua contas de correio eletrônico, já que o POP aceita senhas em texto puro, permitindo que hackers interceptem a senha pela rede.
NFS – Esta porta aberta em servidors Unix permite que os hackers se conectem em seus servidores como se estivessem localmente.
X Window – Com um software cliente X o servidor estará vulnerável a ataques, já que hacker terá controle remoto total do ambiente gráfico.
Bloqueie também quaisquer portas que dão acesso a softwares como pcANYWHERE e VNC.
6.1.3.1 Roteamento de Origem (Source Routing)
Usado originalmente para funções de teste e solução de problemas de rede, é usado agora por hackers para colocar qualquer endereço no campo de origem para especificar seu próprio computador.
Há dois tipos de roteamento de origem:
Roteamento de origem amplo: indica um ou mais máquinas pelas quais o pacote deva passar, mas não dá a lista completa;
Roteamento de origem estrito: indica a rota exata por onde o pacote deve voltar para sua origem.
Nenhum protocolo usa roteamento de origem, portanto desabilite esta função no roteador.
6.1.4 Fragmentação
Nos primórdios da Internet, algumas redes não davam conta de transmitir pacotes grandes. Estes tinham que ser fragmentados em pacotes menores. Os fragmentos eram numerados para que o pacote original pudesse ser remontado. O problema é que o número da porta do serviço TCP ou UDP só vai no fragmento zero.
Para burlar a segurança do filtro de portas o hacker envia pacotes com fragmentos numerados a partir de 1.
6.1.5 Problemas com filtros de pacotes padrão.
Eles não verificam o que vai na parte de dados do pacote (carga útil). Eles não verificam o estado da conexão.
A carga útil pode conter vírus, cavalos de tróia ou informações com objetivo de travar os serviços.
Os serviços de retorno de uma conexão externa são realizados acima da porta 1024. Portanto muitos filtros de pacote simplesmente deixam passar todo o tráfego acima da porta 1024.
Eles não analisam se uma porta acima de 1024 tem a ver com o retorno de uma solicitação de outra conexão em outra porta.
Nada impede que um cavalo-de-tróia abra uma porta de retorno acima de 1024 sem que o filtro de pacote padrão perceba que ela não foi gerada por uma solicitação de comunicação válida.
6.1.6 Filtragem de pacotes por sistema operacional.
Muitos SOs modernos, UNIX ou NT, incluem filtragem de pacotes em sua pilha TCP/IP. Mas caso o computador esteja sendo usado como servidor, tal filtragem deve ser usada como reforço para uma filtragem de pacotes na fronteira da rede, feita por um outro dispositivo tal como um roteador.
6.2 Filtros de Pacote de Inspeção de Estado
Os filtros de pacote com inspeção de estado gravam em sua memória as características do estabelecimento da conexão e podem, portanto, decidir se uma porta de retorno pode ou não ser aberta.
Equilibrio