Fundamentos de

Segurança da Informação

Cristine Hoepers, D.Sc.

Klaus Steding-Jessen,
D.Sc.
12/08/2014 – 14:00 às
15:30h
Objetivos
Discutir os conceitos técnicos relacionados com
segurança, privacidade e resiliência
De forma não exaustiva

Subsidiar os participantes para as crescentes

discussões sobre privacidade, segurança, estabilidade
e resiliência nos fóruns nacionais e internacionais de
governança da Internet
Embasamento técnico para identificar e questionar
falácias, mitos e artigos não embasados
Agenda
• Motivações
• Modelo de Segurança da Informação
• Riscos, ameaças e ataques
• Medidas de Segurança
• Implementando Segurança e Resiliência
- Conceitos e atores envolvidos

• Considerações finais
Motivações
WSIS:
Declaration of Principles
Document WSIS-03/GENEVA/DOC/4-E
12 December 2003

[...]

B5) Building confidence and security

in the use of ICTs

35. Strengthening the trust framework, including information

security and network security, authentication, privacy and
consumer protection, is a prerequisite for the development of
the Information Society and for building confidence among
users of ICTs.

[...]

http://www.itu.int/wsis/docs/geneva/official/dop.html
CGI.br
Princípios
: para a Governança e Uso da Internet no Brasil
CGI.br/RES/2009/003/P - PRINCÍPIOS PARA A GOVERNANÇA E USO DA
INTERNET NO BRASIL
Fevereiro de 2009

[...]

8. Funcionalidade, segurança e estabilidade

A estabilidade, a segurança e a funcionalidade globais da rede
devem ser preservadas de forma ativa através de medidas técnicas
compatíveis com os padrões internacionais e estímulo ao uso das
boas práticas.

[...]

http://www.cgi.br/resolucoes/documento/2009/003
NETmundial:
Internet Governance Principles
NETmundial Multistakeholder Statement
April, 24th 2014, 19:31 BRT

[...]

SECURITY, STABILITY AND

RESILIENCE OF THE INTERNET
Security, stability and resilience of the Internet should be a key
objective of all stakeholders in Internet governance. As a universal
global resource, the Internet should be a secure, stable, resilient,
reliable and trustworthy network. Effectiveness in addressing risks
and threats to security and stability of the Internet depends on
strong cooperation among different stakeholders.

[...]

http://www.netmundial.org/references/
Segurança da Informação
 As informações estão em diversos locais e
a segurança depende de múltiplos fatores
Estados da
Informação
Transmissão

}
Armazenamento
Processamento

Propriedades
da Segurança
da Informação
}Confidencialidade

Integridade

Disponibilidade

}
Tecnologias
Políticas e Medidas de
Procedimentos Segurança
Conscientização

McCumber Information Security Model

http://www.ibm.com/developerworks/security/library/s-confnotes2/
Revendo conceitos:
Propriedades da Segurança da Informação
Confidencialidade – é a necessidade de garantir que as
informações sejam divulgadas somente para aqueles que
possuem autorização para vê-las.

Integridade – é a necessidade de garantir que as informações

não tenham sido alteradas acidentalmente ou
deliberadamente, e que elas estejam corretas e completas.

Disponibilidade – é a necessidade de garantir que os

propósitos de um sistema possam ser atingidos e que ele
esteja acessível àqueles que dele precisam.
Exemplos de Quebras das
Propriedades da Segurança da Informação
Confidencialidade – alguém obtém acesso não autorizado ao
seu computador e lê todas as informações contidas na sua
declaração de Imposto de Renda.

Integridade – alguém obtém acesso não autorizado ao seu

computador e altera informações da sua declaração de
Imposto de Renda, momentos antes de você enviá-la à
Receita Federal.

Disponibilidade – o seu provedor sofre uma grande sobrecarga

de dados ou um ataque de negação de serviço e por este
motivo você fica impossibilitado de enviar sua declaração de
Imposto de Renda à Receita Federal.
Revendo conceitos:
Privacidade vs Confidencialidade
Do ponto de vista de Segurança da Informação:

Privacidade – habilidade e/ou direito de proteger suas

informações pessoais, extende-se à habilidade e/ou direito de
prevenir invasões do seu espaço pessoal.

Confidencialidade – envolve a obrigação de proteger os

segredos de outras pessoas ou organizações, se você souber
deles.
 De Quem Estamos
Querendo nos
Proteger?
Revendo conceitos:
Vulnerabilidade e Risco
Ativ
Vulnerabilidade – Condição o
que, quando explorada por
um atacante, pode resultar
em uma violação de
segurança.
Risco – é o potencial de que
uma dada ameaça venha a
Risco
explorar vulnerabilidades em
um determinado ativo, de Ameaç Vulnera
modo a comprometer a sua -
segurança.
a
bilidad
e
 Riscos em Sistemas
Conectados à Internet
- indisponibilidade de
serviços
Sistemas
- perda de privacidade na
- furto de dados Internet
- perdas financeiras
- danos à imagem
- perda de
confiança na
tecnologia
Riscos
Atacantes
Vulnerabilidades
- criminosos -defeitos de software
- espionagem - falhas de configuração
industrial - uso inadequado
- governos - fraquezas advindas
- vândalos da complexidade dos
sistemas
Como Ocorrem
os Ataques
Revendo conceitos:
Ataque, Exploit e Código Malicioso
Ataque – qualquer tentativa, bem ou
mal sucedida, de acesso ou uso não
autorizado de um serviço,
computador ou rede.
Exploit – programa ou parte de um
programa malicioso projetado para
explorar uma vulnerabilidade existente
em um programa de computador.

Código Malicioso – termo genérico

usado para se referir a programas
desenvolvidos para executar ações
danosas e atividades maliciosas em um
computador ou dispositivo móvel.
• Tipos específicos são: vírus, worm, bot,
spyware,
backdoor, cavalo de troia e rootkit.
Revendo
conceitos:
Tipos de Ataque
Engenharia social – técnica por meio da qual uma pessoa procura
persuadir outra a executar determinadas ações.
Varredura em redes (scan) – consiste em efetuar buscas minuciosas em
redes, com o objetivo de identificar computadores ativos e coletar
informações sobre eles como, por exemplo, serviços disponibilizados.
Negação de serviço distribuída (DDoS) – atividade maliciosa,
coordenada e distribuída, pela qual um conjunto de computadores
e/ou dispositivos móveis é utilizado para tirar de operação um
serviço, um computador ou uma rede conectada à Internet.
Força bruta – consiste em adivinhar, por tentativa e erro, um nome de
usuário e senha de um serviço ou sistema.
Invasão ou comprometimento – ataque bem sucedido que resulte no
acesso, manipulação ou destruição de informações em um
computador.
Desfiguração de página (Defacement) – consiste em alterar o
conteúdo da página Web de um site.
Escuta de tráfego – consiste em inspecionar os dados trafegados em
redes de computadores, por meio do uso de programas específicos.
 Cenário:
Ataque Contra Usuários de Internet
Usuário recebe e-mail PDF é aberto PDF tem
com um PDF em anexo usando uma conteúdo
[Ex.: NFE, Ata de versão malicioso e
reunião, pedido de vulnerável do explora
cotação, etc] leitor (Ex. vulnerabilidade
Acrobat) do programa
Código do leitor
Malware se Código
atacante é
conecta em um baixa e
executado
servidor de executa um
no
Comando e malware
computador
Controle
• instalar spyware (keylloger, screenloger, etc)
• exfiltrar dados
Malware • enviar spam
recebe • atacar outras redes (DDoS, invasões, etc)
comandos do • enviar e-mails para todos os contatos do
atacante
usuário, com um PDF malicioso, para
para, por
continuar se propagando
exemplo:
 Cenário:
Ataque Contra Servidores Web
Atacante instala Varre a Internet em busca de sites
ferramentas em um site com sistemas CMS (Wordpress,
já comprometido Joomla, etc)

Em cada site realiza um Constrói uma lista

ataque de força bruta de de
logins e senhas sites a serem
• alterar o seu conteúdo
atacados(defacement)
• desferir ataques contra outros sistemas ou
Ao
conseguir redes (como DDoS, enviar spam, tentar invadir
acesso ao outros sistemas, etc)
site pode, • levantar páginas de phishing
entre outras • inserir scripts maliciosos, que exploram
coisas: vulnerabilidades dos navegadores dos visitantes
do site, com o objetivo de infectar os usuários
(ataques de drive-by)
• instalar suas ferramentas e iniciar a busca por
outros
sites com CMS para reiniciar o ciclo do ataque
Reflexão:
Lei 12.737 – Art. 2º
Art. 2o O Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código
Penal, fica acrescido dos seguintes arts. 154-A e 154-B:
Invasão de dispositivo informático
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à
rede de computadores, mediante violação indevida de mecanismo de
segurança e com o fim de obter, adulterar ou destruir dados ou
informações sem autorização expressa ou tácita do titular do
dispositivo ou instalar vulnerabilidades para obter vantagem ilícita
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm

O que se pretendia tipificar?

• a inserção de vulnerabilidades? – que geralmente é feita pelo
desenvolvedor, usuário ou administrador de sistemas, não
intencionalmente
• ou a exploração de vulnerabilidades? – atividade realizada
por um atacante que tenta invadir um sistema
Medidas de Segurança
Revendo conceitos:
Controle de Acesso e Correlatos
Controle de acesso – garantir que recursos só sejam
concedidos àqueles usuários que possuem permissão.
Identificação – permitir que uma entidade se identifique, ou
seja, diga quem ela é. Ex: conta de usuário, conta do banco,
e-mail
Autenticação – verificar se a entidade é realmente quem ela
diz ser. Ex.: senha, token, biometria

Exemplo: Acesso a serviços Web

­ conta de usuário – é a identificação
­ senha – é a autenticação
­ cookies – permitem
identificar os acessos que
fazem parte de uma
mesma sessão
Revendo conceitos:
Criptografia e Correlatos
Criptografia – Ciência e arte de escrever mensagens em forma
cifrada ou em código.
É usada, dentre outras finalidades, para: autenticar a
identidade de usuários; autenticar transações bancárias;
proteger a integridade de transferências eletrônicas de
fundos, e proteger o sigilo de comunicações pessoais e
comerciais.

chave – similar a uma senha, é utilizada como elemento

secreto pelos métodos criptográficos.

certificado digital – registro eletrônico composto por um conjunto

de dados que distingue uma entidade e associa a ela uma chave
pública. É emitido por uma autoridade certificadora.
assinatura digital – código usado para comprovar a autenticidade
e a integridade de uma informação, ou seja, que ela foi
realmente gerada por quem diz ter feito isso e que ela não foi
alterada.
Ferramentas de Segurança:
Proteção de Dados em Trânsito
SSL/TLS, SSH e IPSec – protocolos que, por meio de
criptografia, fornecem confidencialidade e integridade nas
comunicações entre um cliente e um servidor.

VPN – termo usado para se referir à construção de uma rede

privada utilizando redes públicas (por exemplo, a Internet)
como infraestrutura. Em geral utilizam criptografia e outros
mecanismos de segurança para proteger os dados em
trânsito.
­ Existem serviços na Internet que dizer fornecer uma VPN,
mas que apenas fornecem serviços de proxy que
“ocultam” o IP de origem – a maior parte destes serviços
não cifra o conteúdo em trânsito.

PGP – programa que implementa operações de

criptografia, como cifrar e decifrar conteúdos e assinatura
digital.
­ Normalmente utilizado em conjunto com programas de e-
mail.
Ferramentas de
Segurança:
Registros de Eventos (Logs)
São os registros de atividades gerados por programas e
serviços de um computador. A partir da análise destas
informações é possível:
­ detectar problemas de hardware ou nos programas e serviços
instalados no computador;
­ detectar um ataque;
­ detectar o uso indevido do computador, como um usuário
tentando acessar arquivos de outros usuários, ou alterar arquivos
do sistema.

Exemplos – logs de sistema:

Jul 4 10:47:01 localhost UserEventAgent[11]:
CaptiveNetworkSupport:CreateInterfaceWatchList:2788 WiFi Devices Found. :)
Jul 4 10:47:02 localhost configd[14]: network configuration changed.
Jul 28 15:07:21 notebook Software Update[443]: Can't instantiate
distribution from http://swcdn.apple.com/content/downloads/11/05/041-0925/
g27esO4pw9re5ggrfp3suf8ew6t53asfz8/041-0925.English.dist: Error
Domain=NSXMLParserErrorDomain Code=4 "zero length data"
UserInfo=0x7fed3da20e50 {NSLocalizedDescription=zero length data}

Jul 30 13:00:16 hostname sshd[1243]: Accepted password for usuario from

2001:db8:0:1::6 port 35849 ssh2
Ferramentas de Segurança:
Proteção Contra Comprometimentos – 1
Firewall – usado para dividir e controlar o acesso entre
redes de computadores.
­ um firewall só pode atuar no tráfego que passa por ele
­ quando o firewall é instalado para proteger um
computador é chamado de
firewall pessoal

Opera com base em regras pré-definidas

­ Mais comum: com base nas
informações dos cabeçalhos IP,
TCP, UDP, etc
­ consegue bloquear com
base em portas e protocolos
específicos
­ pode manter “estado”
­ Firewall de aplicação – nome dado
quando a filtragem é feita
com base na análise do
conteúdo
­ “assinaturas” de ataques
Ferramentas de Segurança:
Proteção Contra Comprometimentos – 2
Exemplos de logs de firewall pessoal:
#Software: Microsoft Windows Firewall
2005-04-11 08:05:57 DROP UDP 123.45.678.90 123.456.78.255 137 137 78 - - -
- - - - RECEIVE
#Software: MacOS X Firewall
Jul 18 16:40:11 notebook Firewall[65]: Stealth Mode connection attempt to
TCP 192.0.2.209:80 from 118.244.186.157:53031
Jul 18 16:46:22 notebook Firewall[65]: Stealth Mode connection attempt to
TCP 192.0.2.209:8080 from 118.244.186.157:53031
Jul 18 16:49:30 notebook Firewall[65]: Stealth Mode connection attempt to
TCP 192.0.2.209:3128 from 118.244.186.157:53031
Jul 18 16:59:09 notebook Firewall[65]: Stealth Mode connection attempt to
TCP 192.0.2.209:22 from 116.10.191.176:6000
Jul 18 17:16:18 notebook Firewall[65]: Stealth Mode connection attempt to
TCP 192.0.2.209:3389 from 218.77.79.43:47811
Jul 18 17:19:42 notebook Firewall[65]: Stealth Mode connection attempt to
TCP 192.0.2.209:22 from 116.10.191.223:6000
Jul 18 17:40:20 notebook Firewall[65]: Stealth Mode connection attempt to
UDP 192.0.2.209:5060 from 199.19.109.76:5079
Ferramentas de Segurança:
Proteção Contra Comprometimentos – 3

Antimalware – procura detectar e, então,

anular ou remover os códigos maliciosos
de um computador.
­ Os programas antivírus, antispyware,
antirootkit e antitrojan são
exemplos de ferramentas
antimalware.

Filtro antispam – permite separar os e-

mails
conforme regras pré-definidas.
­ Pode ser implementado com
base em análise de
conteúdo ou de origem das
mensagens.
Ferramentas de Segurança:
Detecção de Atividades Maliciosas
IDS – programa, ou um conjunto de programas, cuja função é
detectar atividades maliciosas ou anômalas
­ geralmente implementado com base na análise de logs
ou de tráfego de rede, em busca de padrões de
ataque pré-definidos.

Fluxos de rede (Flows) – sumarização de tráfego de rede

­ armazena IPs, portas e volume de tráfego
­ permite identificar anomalias e perfil de uso da rede
­ em segurança usado para identificar:
• ataques de negação de serviço
• identificar computadores comprometidos
 Implementando
Segurança e
Resiliência
Revendo conceitos:
Resiliência Operacional
Um sistema 100% seguro é muito difícil de atingir
Para conseguir uma segurança razoável tem-se
tentado atingir os seguintes objetivos:
Detectar comprometimentos o mais rápido
possível Diminuir o impacto
Conter, mitigar e recuperar de ataques o mais
rápido possível

Novo paradigma: Resiliência

Continuar funcionando mesmo na presença de
falhas ou ataques
Como Obter Resiliência
• Identificar o que é crítico e precisa ser mais protegido
• Definir políticas (de uso aceitável, acesso, segurança, etc)
• Treinar profissionais para implementar as estratégias e
políticas de segurança
• Treinar e conscientizar os usuários sobre os riscos e
medidas de segurança necessários
• Implantar medidas de segurança que implementem as
políticas e estratégias de segurança
- como aplicar correções ou instalar ferramentas de
segurança
• Formular estratégias para gestão de incidentes de
segurança e formalizar grupos de tratamento de incidentes
Revendo conceitos:
Gestão de Incidentes e Correlatos
Incidente de Segurança em Computadores – qualquer evento
adverso, confirmado ou sob suspeita, relacionado à
segurança dos sistemas de computação ou das redes de
computadores
Gestão de Incidentes – definição de políticas e processos
que permitam a identificação e o tratamento de incidentes
de segurança
CSIRT – acrônimo internacional para designar um Grupo de
Resposta a Incidentes de Segurança, uma organização
responsável por receber, analisar e responder a notificações e
atividades relacionadas a incidentes de segurança em
computadores
Outros acrônimos: IRT, CERT, CIRC, CIRT, SERT, SIRT
Inserção nas discussões de Governança:
IGF Best Practices Forums
- Establishing and supporting Computer Emergency Response Teams
(CERTs) for Internet security
- Regulation and mitigation of unwanted communications (e.g. "spam")
Papel dos CSIRTs
A redução do impacto de um incidente é conseqüência:
­ da agilidade de resposta
­ da redução no número de vítimas
O papel do CSIRT é:
­ auxiliar a proteção da infra-estrutura e das informações
­ prevenir incidentes e conscientizar sobre os problemas
­ auxiliar a detecção de incidentes de segurança
­ responder incidentes – retornar o ambiente ao
estado de produção
O sucesso depende da confiabilidade
­ nunca divulgar dados sensíveis nem expor
vítimas, por exemplo
O CSIRT não é um investigador
Evolução histórica:
Tratamento de Incidentes no Brasil
Agosto/1996: o relatório "Rumo à Criação de uma
Coordenadoria de Seguraça de Redes na Internet Brasil" é
publicado pelo CGI.br1
Junho/1997: o CGI.br cria o CERT.br (naquele tempo chamado
NBSO – NIC BR Security Office), com base nas recomendações
do relatório, como um grupo com responsabilidade nacional2
Agosto/1997: a RNP cria seu próprio CSIRT (CAIS)3, seguida
pela rede acadêmica do Rio grande do Sul (CERT-RS)4
1999: outras instituições, incluindo Universidades e
Operadoras de Telecomunicações, iniciaram a formação de
seus CSIRTs
2002–2004 : grupos de trabalho para definição da estrutura
de um CSIRT para a Administração Pública Federal
2004: o CTIR-Gov foi criado, com a Administração Pública
Federal como seu público alvo5
1http://www.nic.br/grupo/historico-gts.htm 2
http://www.nic.br/grupo/gts.htm 3
http://www.rnp.br/_arquivo/documentos/rel-rnp98.pdf 4
http://www.cert-rs.tche.br/index.php/missao 5
http://www.ctir.gov.br/sobre-CTIR-gov.html
 Grupos de Tratamento de Incidentes
Brasileiros:
37 times com
Público Alvo serviços anunciados ao público
CSIRTs
Qualquer Rede CERT.br
no País
Governo CTIR Gov, CCTIR/EB,
CLRI-TRF-3, CSIRT
PRODESP, GATI,
GRA/SERPRO,
GRIS-CD, CSIRT
CETRA,
GRIS Correios
Setor Financeiro Cielo CSIRT, CSIRT BB,
CSIRT CAIXA, CSIRT Sicredi,
CSIRT Santander
Telecom/ISP CTBC Telecom, EMBRATEL,
CSIRT Telefonica|VIVO,
CSIRT Locaweb,
CSIRT TIM, CSIRT UOL,
StarOne, Oi,

Academia GSR/INPE, CAIS/RNP,

CSIRT Unicamp, CERT-RS,
NARIS, CSIRT POP-MG,
CEO/RedeRio,
CERT.Bahia,
CSIRT USP, GRC/UNESP,
TRI
Outros CSIRT TIVIT, GRIS Abril
http://www.cert.br/csirts/brasil/
Considerações Finais
Questões em aberto:
Controle vs Segurança
Supostas medidas de segurança, mas usadas para controle,
podem gerar reações contra a segurança como um todo
­ uso indiscriminado da biometria em escolas, academias,
acesso a edifícios, etc
­ RFID (Radio Frequency Identification) em carros, cartões de
crédito e passaportes

Quem tem acesso? Com que finalidade?

Como estes dados estão protegidos?
Seu uso traz mesmo mais segurança no contexto em que estão
sendo usados?
Questões em
aberto:
Privacidade online
Um grande risco pode ser não entender a tecnologia
­ As informações que um navegador fornece a um site,
permitem identificação mais únivoca que um
endereço IP válido
­ Medidas de segurança não são contra a privacidade, mas sim
essenciais para mantê-la

É necessário que modelos de negócio e regras sejam claros

­ Serviços não são gratuitos, são pagos com informações
providas por seus usuários
Referências:
Fontes dos Conceitos Apresentados
Cartilha de Segurança para a Internet
http://cartilha.cert.br/

Security Engineering, 2nd Edition,

2008, Ross Anderson
http://www.cl.cam.ac.uk/~rja14/book.
html

Glossary of Security Terms, SANS

Institute
http://www.sans.org/security-resourc
es/glossary-of-terms/

RFC 2196: Site Security Handbook

http://tools.ietf.org/html/rfc2196

Cyber Risk and Resilience

Management, CERT/CC
http://www.cert.org/resilience/
Obrigad
o Cristine Hoepers, D.Sc.
[email protected]
Klaus Steding-Jessen, D.Sc.
[email protected]
SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Firewal
l
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Um firewall é um dispositivo de controle de acesso que olha para o

pacote IP, compara com regras de política e dispositivos para permitir.
Negar ou toma alguma outra ação no pacote.

Um firewall é um dispositivo (ou recurso de software) projetado para

controlar o fluxo de tráfego dentro e fora de uma rede.

Em geral, firewalls são instalados para evitar

ataques. O ataque cobre muitas coisas:

• Alguém sondando uma rede para

computadores.
• Alguém tentando falhar serviços em um
computador.
• Alguém tentando derrubar um computador?
(Win nuke).
• Alguém tentando obter acesso a um computador para usar
recursos ou informações

Proteja uma ampla gama de máquinas de sondas gerais e muitos

ataques. Fornece alguma proteção para máquinas sem

segurança.
SISTEMAS DE INFORMAÇÃO
Redes de Computadores II
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Parâmetros de controle
de acesso à chave

Base de dados de políticas - coleta de regras de controle de acesso com

base nos parâmetros acima.

Outros nomes - tabelas de regras, listas de controle de acesso, políticas

de firewall
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Exemplos

Camada de enlace de dados

Negar todos os pacotes de endereço MAC 00-1b-ef-01-01-01

Não solicite autenticação se o endereço MAC for 00-1b-15-01-

02-03

Camada de rede

Negar tudo exceto pacotes de saída da sub-rede 10.0.0.0

255.255.255.0

Permitir apenas tráfego GRE

Negar tudo, exceto o tráfego IP da rede 192.168.1.0

 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Exemplos

Camada de Transporte

Permitir o formulário de tráfego da web qualquer pessoa (internet)

desde que o endereço de destino seja o meu servidor web (10.0.0.1)

Permitir o tráfego de FTP de qualquerpessoa para o meu servidor FTP,

mas somente após a autenticação bem-sucedida

Negar todo o tráfego UDP

Camada de aplicação

Negar todos os pares a ponto

Não permitir headres http com o subcomando

POST Não permitir opção DEBUG em

comandos SMTP
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Um firewall de borda geralmente é software executado em um servidor

ou estação de trabalho.

Ele protege um único computador contra ataques dirigidos

contra ele. Exemplos desses firewalls são:

ZoneAlarm
Gelo preto
IPFW em
OSX

Um firewall de dispositivo é um dispositivo cuja única função é atuar

como um firewall. Exemplos desses firewalls são:

Cisco PIX.
Netscreen
série.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Arquitetura dos firewalls

Há, basicamente, três tipos de arquitetura:

Arquitetura Dual-Homed Host

Há um computador chamado dual-homed host que fica entre uma rede

interna e a rede externa - normalmente, a internet.

O nome se deve ao fato deste host possuir ao menos duas interfaces de

rede, uma para cada "lado".

Há apenas um caminho de comunicação para todo o tráfego passa por

este firewall. Não há acesso da rede interna para a rede externa (e vice-

versa) diretamente.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Arquitetura dos firewalls

Há, basicamente, três tipos de arquitetura:

Arquitetura Dual-Homed Host

A principal vantagem: há grande controle do tráfego.

A desvantagem é que qualquer problema com o dual-homed - uma

invasão, por exemplo - pode pôr em risco a segurança da rede ou mesmo
paralisar o tráfego.

Por esta razão, o seu uso pode não ser adequado em redes cujo acesso à
internet é
essencial.

Este tipo de arquitetura é bastante utilizado para firewalls do tipo proxy.

 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Arquitetura dos firewalls

Screened Host

Neste casa há duas:

- Uma que faz o papel de roteador (screening router); e

- outra chamada de bastion host.

O bastion host atua entre o roteador e a rede interna, não permitindo

comunicação
direta entre ambos os lados.

Perceba então que se trata de uma camada extra de segurança:

-a comunicação ocorre no sentido rede interna - bastion host - screening

router - rede externa e vice-versa.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Arquitetura dos firewalls

Screened Host

O roteador normalmente trabalha efetuando filtragem de pacotes,

sendo os filtros configurados para redirecionar o tráfego ao bastion host.

Este, por sua vez, pode decidir se determinadas conexões devem ser
permitidas ou não, mesmo que tenham passado pelos filtros do roteador.

Sendo o ponto crítico da estrutura, o bastion host precisa ser bem

protegido, do contrário, colocará em risco a segurança da rede interna
ou ainda poderá torná-la inacessível.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Arquitetura dos firewalls

Screened Subnet

Também conta com a figura do bastion host, mas este fica dentro de
uma área isolada de nome interessante:

DMZ, sigla para Demilitarized Zone - Zona

Desmilitarizada. A DMZ, fica entre a rede interna e

a rede externa.

Acontece que, entre a rede interna e a DMZ há

um roteador que normalmente
trabalha com filtros de pacotes.

Além disso, entre a DMZ e a rede externa há outro

roteador do tipo.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Arquitetura dos firewalls

Screened Subnet

Arquitetura bastante segura, uma vez que, caso o invasor passe

pelo primeiro roteador, terá ainda que lidar com a zona desmilitarizada.

Esta inclusive pode ser configurada de diversas formas, com a

implementação de proxies ou com a adição de mais bastion hosts
para lidar com requisições específicas, por exemplo.

O nível segurança e a flexibilidade de configuração fazem da Screened

Subnet uma
arquitetura normalmente mais complexa e, consequentemente, mais cara.
SISTEMAS DE INFORMAÇÃO
Redes de Computadores II
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Filtragem de pacotes (packet filtering)

filtragem de pacotes de dados (packet filtering), uma metodologia mais

simples e, por isso, mais limitada, embora ofereça um nível de
segurança significativo.

cada pacote possui um cabeçalho com diversas informações

O Firewall então analisa estas informações de acordo com as regras

estabelecidas para liberar ou não o pacote
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Filtragem de pacotes (packet filtering)

A filtragem normalmente se limita às camadas de rede e de transporte:

-a primeira é onde ocorre o endereçamento dos equipamentos que

fazem parte da rede e processos de roteamento, por exemplo;

-a segunda é onde estão os protocolos que permitem o tráfego de

dados, como o TCP e o UDP.

Um firewall de filtragem pode ter uma regra que permita todo o tráfego
da rede local que utilize a porta UDP 123, assim como ter uma política
que bloqueia qualquer acesso da rede local por meio da porta TCP 25.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Filtragem de pacotes (packet filtering)

Filtragem Estática e dinâmica

Estática Dinâmica
Os filtros consideram o contexto em que os
Os dados são bloqueados ou liberados pacotes estão inseridos para "criar" regras
meramente com base nas regras, não que se adaptam ao cenário, permitindo que
importando a ligação que cada pacote tem determinados pacotes trafeguem, mas
com outro. somente quando necessário e durante o
período correspondente.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Firewall de aplicação ou proxy de serviços (proxy services)

O firewall de aplicação ou proxy de serviços (proxy services) é intermediário

entre
um computador ou uma rede interna e outra rede, externa - normalmente,
a internet.

Geralmente instalados em servidores potentes por precisarem lidar com

um grande número de solicitações.

São opções interessantes de segurança porque não permitem a

comunicação direta entre origem e destino.

O fluxo de dados necessita passar pelo

proxy.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Firewall de aplicação ou proxy de serviços (proxy services)

É possível, por exemplo, estabelecer regras que impeçam o acesso de

determinados endereços externos, assim como que proíbam a
comunicação entre computadores internos e determinados serviços
remotos.

possibilita o uso do proxy para tarefas complementares:

- o equipamento pode registrar o tráfego de dados em um arquivo de log;

-conteúdo muito utilizado pode ser guardado em uma espécie de cache

(uma página Web muito acessada fica guardada temporariamente no
proxy, fazendo com que não seja necessário requisitá-la no endereço
original a todo instante, por exemplo);

-determinados recursos podem ser liberados apenas mediante

autenticação do usuário; entre outros.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Firewall de aplicação ou proxy de serviços (proxy services)

Proxy transparente

O proxy "tradicional“ exige que determinadas configurações sejam

feitas nas ferramentas que utilizam a rede (por exemplo, um navegador
de internet) para que a comunicação aconteça sem erros.

O problema é, dependendo da aplicação, este trabalho de ajuste pode ser

inviável ou custoso.

No proxy transparente as máquinas que fazem parte da rede não

precisam saber
de sua existência, dispensando qualquer configuração específica.

Todo acesso é feito pelo cliente a rede externa, mas o proxy consegue
interceptá-lo e responder adequadamente, como se a comunicação, de
fato, fosse direta.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Firewall de aplicação ou proxy de serviços (proxy services)

Proxy transparente

Desvantagens, por exemplo:

Um proxy "normal" é capaz de barrar uma atividade maliciosa, como

um malware
enviando dados de uma máquina para a internet;

o proxy transparente, pode não bloquear este tráfego.

Pois para conseguir se comunicar externamente, o malware

teria que ser
configurado para usar o proxy "normal" e isso geralmente não acontece;

no proxy transparente não há esta limitação, portanto,

o acesso aconteceria normalmente.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Inspeção de estados (stateful inspection)

Comparação entre o que está acontecendo e o que é esperado para

acontecer.

Analisam todo o tráfego de dados para encontrar estados, isto é, padrões

aceitáveis por suas regras e que, a princípio, serão usados para manter a
comunicação.

Estas informações são então mantidas pelo firewall e usadas como

parâmetro para o tráfego subsequente.

Exemplo: Um aplicativo iniciou um acesso para transferência de arquivos

entre um
cliente e um servidor.
Os pacotes de dados iniciais informam quais portas TCP serão
usadas para esta tarefas.
Se o tráfego começar a fluir por uma porta não mencionada,
o firewall pode então detectar esta ocorrência como uma anormalidade e
efetuar o bloqueio.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Firewalls pessoais

Há firewalls mais simples destinados a proteger o seu computador, são os

firewalls
pessoais (ou domésticos), que DEVEM ser utilizados por qualquer pessoa.

Os sistemas operacionais atuais contam com firewall interno por padrão,

como é o caso de distribuições Linux, do Windows ou do Mac OS X.

Além disso, é comum desenvolvedores de antivírus oferecerem outras

opções de proteção junto ao software, entre elas, um firewall.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Firewall de hardware

O hardware nada mais é do que um equipamento com um software

de firewall
instalado.
Roteadores ou equipamentos semelhantes a estes que exercem a
função.
tráfeg
Neste caso, o objetivo normalmente é o de proteger o
uma rede com considerável ou com dados muito importantes.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Firewall de hardware

A vantagem: o equipamento, por ser desenvolvido especificamente para

este fim, é preparado para lidar com grandes volumes de dados e
não está sujeito a vulnerabilidades que eventualmente podem ser
encontrados em um servidor convencional (por conta de uma falha em
outro software, por exemplo).
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Firewall baseado em roteador / ponte

Um firewall em execução em uma ponte ou em um roteador protege de um

grupo de dispositivos para uma rede inteira. A Cisco possui conjuntos de
recursos de firewall em seu sistema operacional IOS.

Firewall de rede baseado em computador

Um firewall de rede é executado em um computador (como um

computador PC ou Unix). Estes firewalls são alguns dos mais flexíveis.
Muitos produtos livres estão disponíveis, incluindo IPFilter (o primeiro
pacote que tentamos), PF (o pacote atual que estamos usando
encontrado no OpenBSD 3.0 e posterior) e IPTables (encontrado no
Linux). Os produtos comerciais incluem: Checkpoint Firewall-1. Apple OSX
inclui IPFW (incluído em um sistema operacional que você tem que
comprar).
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Limitações dos firewalls

De fato, firewalls são recursos de segurança bastante importantes, mas

não são
perfeitos em todos os sentidos.

Pode-se mencionar as seguintes limitações:

-Um firewall pode oferecer a segurança desejada, mas comprometer o

desempenho da rede (ou mesmo de um computador). Esta situação pode
gerar mais gastos para uma ampliação de infraestrutura capaz de superar
o problema;

- A verificação de políticas tem que ser revista periodicamente para não

prejudicar o
funcionamento de novos serviços;

-Novos serviços ou protocolos podem não ser devidamente tratados por

proxies já implementados;

-Um firewall pode não ser capaz de impedir uma atividade maliciosa que
se origina e se destina à rede interna;
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Limitações dos firewalls

De fato, firewalls são recursos de segurança bastante importantes, mas

não são
perfeitos em todos os sentidos.

Pode-se mencionar as seguintes limitações:

- Um firewall pode não ser capaz de identificar uma atividade

maliciosa que acontece por descuido do usuário - quando este acessa um
site falso de um banco ao clicar em um link de uma mensagem de e-mail,
por exemplo;

- Firewalls precisam ser "vigiados". Malwares ou atacantes experientes

podem tentar
descobrir ou explorar brechas de segurança em soluções do tipo;

-Um firewall não pode interceptar uma conexão que não passa por ele.
Se, por exemplo, um usuário acessar a internet em seu computador a
partir de uma conexão 3G (justamente para burlar as restrições da rede,
talvez), o firewall não conseguirá interferir.
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Ter um firewall é um mal necessário. É como viver em uma comunidade

fechada.

O portão pode parar 99% dos visitantes indesejados. As fechaduras em

suas portas
param os 1% restantes.

Não deixe que o firewall lhe dê uma falsa sensação de

segurança. Endureça suas máquinas desligando os serviços

que você não precisa. Bloqueia pacotes baseados em:

 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Onde um firewall se encaixa no modelo de segurança

O firewall é a primeira camada de defesa em qualquer modelo de

segurança.

Não deve ser a única camada. Um firewall pode impedir que muitos
ataques cheguem às máquinas de destino.

Se um ataque não pode atingir seu alvo, o ataque é derrotado.

Design do conjunto de regras

Duas abordagens principais para um conjunto de regras

projetar são:

1. Bloquear tudo, em seguida, abrir

2. Não bloqueie nada e feche os
buracos.
furos
 SISTEMAS DE INFORMAÇÃO
Redes de Computadores II

Design do conjunto de regras - bloquear tudo

Bloquear tudo fornece a segurança mais forte, mas a maior

inconveniência. As coisas quebram e as pessoas se queixam.

O método de bloco tudo abrange todas as bases, mas cria mais

trabalho em descobrir como fazer algumas aplicações de trabalho, em
seguida, abertura de buracos.

Bloquear nada fornece segurança mínima fechando apenas furos que

você pode identificar. Bloquear nada fornece o menor inconveniente para
os nossos usuários.

Bloquear nada significa que você deve gastar o tempo que figura para
fora o que
você quer se proteger yourself de então fechar cada furo.
 Campus Capivari
Análise e Desenvolvimento de Sistemas (ADS)
Prof. André Luís Belini
E-mail: [email protected]
/ [email protected]
MATÉRIA: S E G
 Aula N°: 12
 Tema: Aprimorando a segurança da rede -

Firewall
 Tópico do Plano de Ensino: 12
FIREWALL
O Q U E É U M F I R E WA L L
 Firewall é um software ou um hardware que verifica
informações provenientes da Internet ou de uma rede, e as
bloqueia ou permite que elas cheguem ao seu computador,
dependendo das configurações do firewall.
 U m firewall pode ajudar a impedir que hackers ou
softwares mal-intencionados (como worms) obtenham
acesso ao seu computador através de uma rede ou da
Internet. U m firewall também pode ajudar a impedir o
computador de enviar software mal-intencionado para
outros computadores.
D E F I N I Ç ÃO R EQ U I S I TO S D E
SEGURANÇA
 Não há duas redes que tenham os mesmos
requisitos relacionados à segurança.
 Para decidir quanto trabalho você deve ter para
proteger uma rede, é preciso saber o valor que
têm as informações contidas na rede, o grau de
publicidade ou de sensibilidade da organização e
os prejuízos que poderiam ser causados pela falta
do serviço.
DA D O S CO N F I D E N C I A I S
 Devido à importância das informações e à atração
que esse tipo de rede representa para os hackers,
o administrador de rede de uma organização que
lida com dados confidenciais deve ser bem
cauteloso com relação à segurança (recusar
pacotes, protocolos e portas como padrão) ou
torná-las mais rígidas.
C O N F I G U R AÇ ÃO DAS R EG R AS
 Uma vez determinado o grau de segurança da
rede, é necessário configurar o firewall com as
regras que deverão ser mantidas.
 Todo firewall permite estabelecer um conjunto de
regras que especificam o tráfego que terá
permissão de passar ou não pelo firewall, bem
como estabelecer e manipular essas regras.
A P L I C AÇ ÃO D E R E G R A S E M
O R DE M
 Ao decidir se um pacote deve ou não passar pelo
Firewall, o software começará com a primeira
regra de seu conjunto e irá prosseguir até a
última, até que o pacote seja explicitamente
aceito ou recusado.
R E G R A S P O R TIPO D E PACOTE
 O firewall precisa ser capaz de filtrar com base
no tipo de pacote porque alguns são essenciais
para a operação da rede, enquanto outros tipos
são apenas fontes de problemas.
REGRAS POR ENDEREÇOS
 O firewall precisa classificar o tráfego de acordo com
sua origem (de onde ele vem) e de acordo com o seu
destino (para onde ele vai)
 O firewall ser capaz de
deve
permanentemente o impedir de
acesso
causadoras de problemas, bem hosts
como eser capaz de
redes
recusar todo e qualquer acesso aos computadores
contendo informações importantes dentro da rede e
que não precisem de conectividade com a Internet.
R E G R A S P O R PORTAS
 O firewall também deve permitir ou bloquear o
acesso através das portas de comunicação.
 Não deve ser permitido que usuários externos se
conectem a qualquer porta dos computadores
internos.
R E G R A S PARA O S N Í V E I S D E
SEGURANÇA
As cinco categorias que serão apresentadas, a
seguir, atendem aos critérios de segurança da
maioria das empresas. Os principais níveis são:

1. Atento

2. Preocupado

3. Cauteloso

4. Rígido

5. Paranoico
O ATENTO

O administrador atento deve:

 Instalar todas as correções (patches) mais
recentes do S.O.
 Manter as contas dos usuários da rede fora dos
computadores destinados aos serviços da
Internet;
 Examinar regularmente os registros do sistema;
 Examinar regularmente as contas dos usuários;
O ATENTO
 Desativar todos os serviços desnecessários
da rede e nos servidores de Internet;
 Usar programas antivírus
 Fazer backups periódicos
O P R E O C U PA D O

Deve ter atenção a:

 Regras de pacotes (filtragem)
 As regras de pacotes controlam o fluxo de vários
tipos diferentes de pacotes através do filtro ou do
Firewall. Elas são as seguintes:
⚫ Regras de ICMP/IP/UDP/TCP
O C AU T E L O S O

 Segue regras mais rígidas e a utilização de:

 NAT – a exposição desnecessária de
impede
endereços IP; não permitir que pacotes
 Fragmentação:
fragmentados passem pela rede;
 Regras de Proxy: barrar pacotes indesejados;
O RÍGIDO
 Parecido com o cauteloso, no entanto, usa regras
ainda mais rígida na configuração das
ferramentas escolhidas.
 Bloqueio de determinados tipos de arquivos,
principalmente executáveis, applets Java, Active
X, entre outros.
O PA R A N O I C O

 Uma das estratégias das instalações paranoicas é

a de não se conectar a Internet ou então, se
conectar, mas através de uma rede separada.
 Máquinas e equipamentos “descartáveis”.
F I R E WA L LS GRATUITOS
 Há vários pacotes de software gratuitos que
podem ser usados para montar um Firewall em
uma rede.
 A maioria dos firewalls gratuitos possuem
algumas falhas e problemas comuns:
⚫ Recursos de registros e alertas
inexistentes ou limitados;
⚫ Sem recurso de monitoramento em tempo real;
⚫ Interface gráfica inexistente ou limitada;
⚫ Configuração difícil
L I N UX E I PCH A I N S

O Linux com IPChains suporta os seguintes

recursos principais:
 As regras de filtragem de pacotes são
aplicadas em cada pacote assim que ele chega;
 Filtros de conteúdo específico podem
ser fornecidos por serviços de nível mais alto.
 Conversão de endereços de rede
 Redes virtuais VP N
S EG U R A N Ç A
 O IPChains filtra os pacotes antes deles serem
passados para a pilha IP para processamento,
permitindo proteger o computador de pacotes
malformados ou de outros ataques em nível de
IP.
 A NAT é incorporada ao filtro de pacotes, de
modo que as mesmas regras para especificar os
tipos de pacotes que serão convertidos possam ser
usados.
A E S C O L H A D O FI RE WAL L
Existem diversas soluções de firewall disponíveis no
mercado. A escolha de uma delas está atrelada a fatores
como custo, recursos desejados e flexibilidade, mas um
ponto essencial é a familiaridade com a plataforma
operacional do firewall. A maioria dos firewalls está
disponível para um conjunto reduzido de plataformas
operacionais, e a sua escolha deve se restringir a um dos
produtos que roda sobre uma plataforma com a qual os
administradores da rede tenham experiência.
A E S C O L H A D O FI RE WAL L
 Existem, basicamente, duas razões para esta recomendação. A
primeira delas é que você deve estar familiarizado o suficiente
com o sistema onde o firewall será executado para configurá-lo
de forma segura. A existência de um firewall instalado em um
sistema inseguro pode ser até mais perigosa do que a ausência
do firewall na rede.
 A segunda razão é que os produtos tendem a seguir a filosofia
da plataforma onde rodam; por exemplo, a maioria dos
firewalls para Windows é configurada através de menus e
janelas, ao passo que muitos firewalls para Unix são
configurados por meio de arquivos texto
A E S C O L H A D O FI RE WAL L
 Outro fator importante consiste na escolha do
tipo de firewall que será implementado. Dentre
os tipos atualmente disponíveis, destacam-se os
filtros de pacotes, amplamente utilizados por
terem baixo custo associado e por estarem
normalmente integrados a dispositivos como
roteadores ou alguns tipos de switches, ou por
serem facilmente integráveis ou fazerem parte do
kernel de diversos sistemas operacionais
A E S C O L H A D O FI RE WAL L
 Os filtros de pacotes analisam
normalmente
informações colhidas nos cabeçalhos de cada
pacote, tais como endereços IP de origem e
destino, protocoloutilizado, portas, e
são
basicamente divididos em duas categorias: os
estáticos (stateless) e os dinâmicos (stateful).
F I LT RO S D I NÂ M I CO S E ESTÁTICOS
 Os filtros estáticos são projetados para tomar decisões
(como bloquear ou permitir) para cada pacote que
entra ou sai de uma rede, sem considerar o contexto
em que cada pacote está inserido.
 J á os filtros dinâmicos rastreiam e mantêm o estado
das conexões contidas no tráfego de rede, fazendo com
que cada pacote seja analisado dentro de um contexto
(conexão que contém o pacote)
 F E R R A M E N TA S D E SOF TWAR E
LI V R E PARA C O N S T RU Ç ÃO
F I R E WA L LS
Ferramenta Plataforma Característica

ipchains Linux filtro de pacotes (stateless)

iptables Linux filtro de pacotes (stateful)

ipfw FreeBSD filtro de pacotes (stateful)

pf OpenBSD filtro de pacotes (stateful)

ipfilter vários Unix filtro de pacotes (stateful)

TIS Firewall Toolkit vários Unix proxy para vários protocolos

Squid vários Unix proxy Web/FTP

LO C A L I Z AÇ ÃO D O FIREWALL
 Todo o tráfego deve passar pelo firewall. Um
firewall só pode atuar sobre o tráfego que passa por
ele. A eficácia de um firewall pode ser severamente
comprometida se existirem rotas alternativas para
dentro da rede (modems, por exemplo).
 Tenha um filtro de pacotes no perímetro da
sua rede. Esse filtro pode estar localizado entre o
seu roteador de borda e o interior da rede ou no
próprio roteador, se ele tiver esta capacidade e você se
sentir confortável utilizando-o para esta tarefa.
LO C A L I Z AÇ ÃO D O FIREWALL
 Coloque os externos em
servidores
recomendável que você uma DMZ.
acessíveis externamente (Web,
É coloque
FTP, correio os
eletrônico,
seusetc.)
em um segmento de rede separado
servidores
e com acesso altamente
restrito, conhecido como D M Z (DeMilitarized Zone, ou zona
desmilitarizada);
 Considere o uso de firewalls internos. E m alguns
casos, é possível identificar na rede interna grupos de
sistemas que desempenham determinadas tarefas comuns,
tais como desenvolvimento de software, webdesign e
administração financeira.
C R I T É R I O S D E FILTRAGEM
No perímetro da rede, pelo menos as seguintes
categorias de tráfego devem ser filtradas:
 tráfego de entrada (ingress filtering): pacotes com
endereço de origem pertencente a uma rede reservada
ou a um dos blocos de endereços da sua rede interna;
 tráfego de saída (egress filtering): pacotes com
endereço de origem pertencente a uma rede reservada
ou que não faça parte de um dos blocos de endereços
da rede interna.
E X E RC Í C I O S D E FIXAÇÃO

Realize a leitura dos dois estudos complementares,

constantes do blog e também do ambiente virtual.

Após a leitura dos artigos e do conhecimento da

aula, responda as seguintes questões e formule um
texto para a entrega ao professor.

A entrega será realizada pelo ambiente virtual

E X E RC Í C I O S D E FIXAÇÃO

1. Quais são as principais características de um

Firewall?

2. Quais são as principais diferenças entre o

Firewall e o Proxy? Qual é o mais indicado?

3. No estudo de caso 2, o autor faz referência aos

itens que devem ser protegidos por
uma organização. Cite e explique os três tipos.
E X E RC Í C I O S D E FIXAÇÃO

4. Ainda segundo o mesmo autor (artigo 2), quais

são os principais classificações dos firewalls?

5. De forma resumida, fale sobre o I P TA B L E S e

suas principais funções.

6. No primeiro estudo de caso, o autor faz

referência a algumas ferramentas de
software livre para a construção de
firewalls. Cite e explique quais são algumas
dessas ferramentas.
R E F E R Ê N C I A S BI BLI O G RÁFI CAS
 Cert.BR – Práticas de Segurança
para Administradores de Redes
Internet. Disponível em:
http://www.cert.br/docs/seg-adm-redes/seg- adm-
redes.html#subsec4.12
DÚVIDAS? P E RG U N TAS ?
ANGÚSTIAS?
A F L I ÇÕ E S ?
 Prof. André Luís Belini
E-mail:
[email protected] /
[email protected]
Blog:
http://profandreluisbelini.wordpress.com/
Página: www.profandreluisbelini.com.br
Segurança de
Redes Firewall

Filipe Raulino
[email protected]
u.br
 Introdução

• O firewall é uma combinação de hardware e software que

isola a rede local de uma organização da internet;

• Com ele é possível implementar uma política de controle de

acesso, bloqueando ou permitindo a passagem de pacotes;

2
 Firewalls
• Topologia

3
 Firewalls
• Topologia

4
 Características
• Pelo firewall devem passar todos os pacotes que
chegam ou saem de uma rede.
- Somente o tráfego autorizado na política de
segurança da organização será encaminhado.

• O firewall deve prover ferramentas para registro e

monitoramento do tráfego, como logs e envios de alertas.

• O firewall também é adequado

para:
- Implementação de serviços como NAT e
- VPN; Realização de auditorias; e
-
Geração de estatísticas do uso da rede.
5
 NAT - Network Address Translations

• Conversão de endereços privados para endereços

públicos:
- As máquinas internas utilizam endereços
• privados.

Esconde a topologia interna da rede:

• - Isola as máquinas da rede interna.

O gateway faz a tradução de endereços.

6
 Tipos de Firewall
• Firewalls de filtragem de pacotes: Este tipo de firewall toma as
decisões baseadas nos parâmetros do pacote, como
porta/endereço de origem/ destino, estado da conexão, e
outros parâmetros do pacote. O firewall então pode negar o
pacote (DROP) ou deixar o pacote passar (ACCEPT). O iptables é
um excelente firewall que se encaixa nesta categoria.
• Gateways de camada de aplicação: Firewalls deste tipo são
mais
intrusivos e permitem um controle relacionado com o conteúdo
do tráfego.
Alguns firewalls em de aplicação combinam
nível
recursos básicos existentes em firewalls de filtragem de
pacotes
funcionalidade combinando
de as
controle de tráfego/controle
de acesso em uma só ferramenta.
Os dois tipos de firewalls podem ser usados em conjunto 7
 Filtragem de Pacotes

• Aplica sequencialmente uma série de regras de

filtragem aos pacotes e então encaminha ou
descarta os mesmos;
• As regras são baseadas nas informações contidas nos
cabeçalhos dos pacotes:
- Endereço IP de
- origem; Endereço IP
- de destino; Interface
- de rede;

Protocolos (TCP, UDP,

ICMP, …). 8
 Filtragem de Pacotes

• Em geral, são implementados junto com o processo de

roteamento;
• Alguns tipos de firewall de filtragem de pacotes podem
guardar o estado da conexão:
- Pacotes que pertençam a uma conexão
já conhecida podem ser encaminhados sem
filtragem;
uma nova consulta às regras de
- Dificultam diversos tipos de ataques, e possibilitam
o
funcionamento de serviços problemáticos
para a filtragem de pacote
convencional como SIP, H323, FTP…
9
 Filtragem de Pacotes

• Ao final do conjunto de regras será aplicada uma ação

(política) padrão: descartar ou encaminhar
- Em Firewalls cuja política padrão é descartar as regras
devem ser de liberação, pois tudo que não for permitido
estará proibido.
Em
- Firewalls cuja política padrão é encaminhar as regras
devem ser de bloqueio, pois tudo que não for
proibido será permitido.

1
0
 Firewall de Camada de Aplicação

• São também conhecidos como servidores

proxy;
• Age como um intermediário das conexões em nível de
aplicação;
• Apesar de poderem ser implementados para qualquer
aplicação, historicamente são utilizados para os serviços
de HTTP e FTP.
• Não protegem o sistema operacional da própria
máquina
• Desempenho inferior ao de filtro de
pacote
1
1
 Limitações de Firewalls e Gateways

 IP spoofing: roteador não pode saber se os dados

realmente vêm da fonte declarada
 Se múltiplas aplicações requerem um
tratamento especial, cada uma deve ter seu próprio
gateway de aplicação
 O software cliente deve saber como contatar o gateway
Ex., deve configurar o endereço IP do proxy no browser Web
 Filtros muitas vezes usam uma regra radical para UDP:
bloqueiam tudo ou deixam passar tudo
 Compromisso: grau de comunicação com mundo
exterior versus nível de segurança
1
2
 O que Proteger?
• Quais serviços precisa
proteger.
• Que tipo de conexões eu posso deixar passar e quais
bloquear.
• Que máquinas terão acesso livre e quais serão
restritas.
• Que serviços deverão ter prioridade no
processamento.
• Que máquinas/redes NUNCA deverão ter acesso a
certas/todas máquinas.

• Etc
… 1
3
 Iptables
• O iptables, assim como a maioria (ou todos) dos filtros de
pacotes, baseia-se em ACL´s (Access Control List), que servem
para representar a política de segurança desejada

• As ACL´s do iptables possuem várias peculiaridades,

porque vários elementos sofisticados são utilizados para
formar uma regra dentro do contexto da política desejada

• O iptables utiliza os
conceitos de
- Cadeias Chain
1

- (chains) Table 1 Rule

1
Rule
2
Rule
3
Table 2

- Tabelas
(Tables) 1
4
 Iptables - Regras

• As regras são como comandos passados ao iptables para que

ele realize uma determinada ação (como bloquear ou deixar
passar um pacote).
• As regras são armazenadas dentro dos chains e processadas na
ordem que são inseridas.

• As regras são armazenadas no kernel, o que significa que

quando o computador for reiniciado tudo o que fez será
perdido. Por este motivo elas deverão ser gravadas em um
arquivo para serem carregadas a cada inicialização.

Um exemplo de regra: iptables -A INPUT -s 123.123.123.1 -j DROP.

1
5
 Iptables - Cadeias

• É onde podemos especificar a situação do tratamento dos

pacotes, seja qual tabela for;

• Podem ser classificadas como estruturas para comportar

regras;
• Existem dois tipos de
cadeias:
- Cadeias padrão ; e
- Cadeias criadas pelo
usuário.

1
6
 Cadeias Padrão

• PREROUTING
- Tráfego ingressante na máquina (incluindo tráfego gerado
localmente com destino local)
• INPUT
- Tráfego que tem como destino a própria máquina
• FORWARD
- Tráfego passante pela máquina
• OUTPUT
- Tráfego gerado localmente (tanto com destino local como
remoto)
• POSTROUTING
- Todo tráfego que "sai" da máquina (incluindo tráfego gerado
localmente com destino local)
1
7
 Criando uma Cadeia
• Criação de cadeias (user-chain)
- iptables –N <OP>

-N Create a new chain

-X Delete an EMPTY chain
-P Change the Policy for a built-in chain
-L Lists the chain rules
-F Flushes the rules of a chain
-Z Sets the counters to zero on all the rules in a
chain

- iptables –N allow
- iptables –L allow 1
8
 Iptables -
Tabelas
• Tabelas são os locais usados para armazenar os chains e
conjunto de regras com uma determinada característica em
comum. As tabelas podem ser referenciadas com a opção -t
tabela;
• Existem 3 tabelas disponíveis no
iptables:
- FILTER - responsável pela filtragem de todos os pacotes que
passam pelo host, não importando origem e destino;
NAT
- - responsável pelo controle dos pacotes que passam pelo
host, mas cuja origem ou destino não é o mesmo.
MANGLE
- - ermite alterar características específicas do pacote,
como por exemplo: o TOS (Tipo de Serviço) o que permite
implementar um sistema simples de QOS ( qualidade de
serviço).
1
9
 Fluxos do Iptables

A tabela FILTER - É a tabela padrão do Netfilter e trata das

situações implementadas por um Firewall filtro de pacotes. Estas
situações são: INPUT, FORWARD e OUTPUT.
A tabela NAT - Usada para dados que gera outra conexão
(masquerading, source nat, destination nat, port forwarding, proxy
transparentePossui
exemplos). são alguns
3 chains padrões: PREROUTING, OUTPUT e
POSTROUTING
A tabela MANGLE - Implementa alterações especiais em pacotes
em um nível mais complexo. A tabela mangle é capaz, por
exemplo, de alterar a prioridade de entrada e saída de um pacote
baseado no tipo de serviço (TOS) o qual o pacote se destinava. Suas
situações são: PREROUTING e OUTPUT.
2
0
 Iptables -
Ações
• São os destinos dados ao pacote quando o pacote coincide
com a regra

• Target
padrão
- ACCEPT
- DROP
- REJECT
- LOG

• Target personalizada
- Implementado com chains
personalizadas 2
1
 Iptables - Política Padrão

As chains INPUT, OUTPUT e FORWARD possuem também

políticas

• Política ACCEPT
- Tudo que não estiver bloqueado será permitido
- Regras serão de bloqueio
• Política
DROP
- Tudo que não estiver liberado será
- bloqueado Regras serão de liberação

Sintaxe: iptables -P <chain> <politica>

2
2
• Ordem de aplicação das regras
• São avaliadas na ordem em que são inseridas,
seqüencialmente

• Após avaliadas todas as regras, sem ocorrência de ‘match’,

a política padrão será aplicada

2
3
 Iptables - Sintaxe básica

• Inserir uma regra no início de uma chain

• iptables [-t <tabela>] -I <chain> <regra> -j
<acao>
•
Inserir uma regra no final de uma chain
• iptables [-t <tabela>] -A <chain> <regra> -j
• <acao>

Remover uma regra de uma chain

• iptables [-t <tabela>] -D <chain> <regra> -j
<acao> 2
4
 Iptables - Sintaxe básica

• Alterar a política de uma chain

• iptables -P <chain> <politica>

• Listar as regras de uma chain

• iptables [-t <tabela>] -L [-n]
<chain>
•
Remover todas as regras de uma
chain
• iptables -F <chain>
2
5