Sei sulla pagina 1di 16

FACULDADE MAURICIO DE NASSAU

ESTUDO E IMPLEMENTAO DE FIREWALL EM AMBIENTE CORPORATIVO

Autores

Igor Felipe de Carvalho

Jackson Arajo de Lima

Thiago Augusto Germano da Silva

Fbio Serafim da Silva

Alexsandro Marques da Silva

Recife, 2011

ESTUDO E IMPLEMENTAO DE FIREWALL EM AMBIENTES CORPORATIVOS


Proposta de elaborao de projeto visando segurana dos dados o controle de recursos da internet dentro das organizaes Proposta de elaborao de projeto visando segurana dos dados e controle de recursos da internet nas organizaes.

Recife, 2011

SUMRIO
Exposio --------------------------------------------------------------------------------------------------

Caractersticas ----------------------------------------------------------------------------------------------

Deciso Tecnolgica ---------------------------------------------------------------------------------------

Firewall -----------------------------------------------------------------------------------------------------

Firewall Fortigate -------------------------------------------------------------------------------------------

Referencias / Bibliografia ---------------------------------------------------------------------------------

EXPOSIO

A rede mundial de computadores (Internet) um ambiente aberto e fundamental, para facilitar o acesso e a troca de informaes independente de distancia. A utilizao da internet e outros servios de comunicao disponveis trazem grandes benefcios para as pequenas, medias e grandes organizaes, tornando-as mais geis, mveis, competitivas no mercado e com informaes centralizadas. Entretanto, a ampliao do alcance proporcionado, nos traz problemas a respeito da utilizao inadequada da ferramenta como: downloads que venham comprometer a estabilidade e desempenho da rede, o acesso a sites imprprios e fraudulentos que podem fazer com que a empresa seja responsabilizada pelo uso indevido da internet, alm de ocasionar queda na produtividade.

Informaes so ativos que, como qualquer outro ativo importante para os negcios, possuem valor para uma organizao e consequentemente precisam ser protegidos adequadamente. A Segurana da Informao refere-se proteo existente sobre as informaes de uma determinada empresa ou pessoa, isto , aplicase tanto as informaes corporativas quanto as pessoais.

Entende-se por informao todo e qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao pblico para consulta ou aquisio.

trade

CIA

(Confidentiality,

Integrity

and

Availability)

--

Confidencialidade, Integridade e Disponibilidade -- representa as principais propriedades que, atualmente, orientam a anlise, o planejamento e a implementao da segurana para um determinado grupo de informaes que se deseja proteger.

Desta forma, este conjunto de normas indica o nicio de um ciclo de implementao de politicas, normas e procedimentos de segurana da informao para o ORGO.

Com o avano da tecnologia tornou-se indispensvel que as empresas possuam uma estrutura tanto para prover a seus funcionrios acesso a Internet, como para fornecer acesso externo as suas aplicaes para seus parceiros e clientes. Sendo assim, milhares de empresas nos dias atuais possuem uma infra-estrutura de acesso a Internet. Com as inmeras vantagens que este acesso proporciona como a conectividade entre redes distintas, correio eletrnico, comunicao eficiente e barata entre pessoas, etc.; vieram tambm inmeros problemas, principalmente no que diz respeito segurana dos dados.

O administrador de rede ou o especialista em segurana deve se preocupar com os mais variados tipos de ataques. Dentre os mais conhecidos, podemos citar o Buffer Overflow, Denial Of Services, Spoofing, DNS Poisoning, Smurf e um tipo que no faz uso de ferramentas conhecido como Engenharia Social, que consiste em se obter acesso s informaes dos usurios, tais como senhas, atravs de contatos fraudulentos com os funcionrios nas prprias empresas, etc. O termo rede segura no existe. A partir do momento que mquinas so ligadas em rede, elas passam a ser alvo dos mais variados tipos de ataques, vindos tanto da rede externa (Internet) como da prpria rede interna, e passa a existir a possibilidade de seu bem mais valioso (a informao), ser roubada ou destruda. de responsabilidade do administrador de rede e de especialistas em segurana criar ou utilizar mecanismos para dificultar o trabalho dos invasores.

Como contramedida aos ataques mencionados acima, o administrador de rede conta com uma gama muito grande de ferramentas e tcnicas de defesa com o intuito de proteger a rede da corporao. Dentre as ferramentas e mtodos mais conhecidos, podemos citar: poltica de segurana, IPS/IDS, VPN, criptografia e firewall.

Embora no seja o nico dispositivo de segurana de rede, o firewall um dos mais importantes, sendo essencial na infra-estrutura de segurana de qualquer organizao. Apesar disso, grande a incidncia de firewalls mal configurados ou at mesmo mal posicionados com relao topologia de rede das empresas.

As solues corporativas so muitas vezes mais fceis de configurar e administrar, pois geralmente oferecem manuais detalhados, suporte especializado, treinamento por parte de empresas especializadas. Porm, como se tratam de solues caras, e devido tambm falta de entendimento sobre a necessidade de empreg-las, comum as empresas consider-las muito mais como despesa do que como investimento.

No intuito de obter vantagem econmica, as empresas muitas vezes optam por utilizar solues gratuitas, como o iptables (firewall do sistema operacional Linux), que utilizado em grande parte dos casos. O grande problema que, apesar de tais solues serem eficazes, geralmente so ferramentas de difcil configurao e administrao, o que acaba por comprometer a segurana da rede.

DEFINIES Para os propsitos deste documento, foram adotadas as seguintes definies:


Definio Para podermos entender o que a segurana da informao devemos saber primeiramente o que a informao. Segundo a norma ISO/IEC 177991, a informao um ativo importante para a organizao e como qualquer outro ativo necessita ser protegido. Ela pode se apresentar de vrias formas, a saber: falada, escrita, eletrnica.

Seja qual for a forma de como a informao se apresente, ela deve ser adequadamente protegida.

De acordo com a norma ISO/IEC 17799, podemos definir a segurana da informao da seguinte maneira: Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao

negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. (Norma ISO/IEC 17799, 2005, p.9)

De acordo com SMOLA (2003) a segurana da informao tem como objetivo a preservao de quatro princpios bsicos: 1. Confidencialidade Toda informao deve ser protegida, sendo o seu acesso permitido apenas a pessoas autorizadas; 2. Integridade Toda informao deve ser mantida na mesma condio em que foi disponibilizada pelo seu proprietrio, sem sofrer modificaes sem autorizao; Disponibilidade A informao deve estar sempre disponvel para aqueles que possuam autorizao de acess-la. 4. Ciclo de Vida da informao A informao um ativo de grande importncia em qualquer organizao, ela define os processos internos e externos. Para protegermos a informao necessrio entendermos o seu ciclo de vida, o momento em que ela criada at o momento em que ela destruda.

GESTO DE RISCOS Processo de identificar, controlar e minimizar ou eliminar os riscos de segurana que podem afetar sistemas de informaes, a um custo aceitvel. Por este motivo, de suma importncia o gerenciamento como:

Controle do trfego; Filtragem do contedo disponvel ao acesso; Seleo criteriosa de quais os servios que podem ou no ser acessados; Proteo contra ataques de redes no confiveis e desconhecidas; Gerador de relatrios de acesso e ataques; Flexibilidade de controle, devido ao fato de ser programvel; Grficos e estatsticas.

Este conjunto de regras pode ser implementado atravs de um FIREWALL.

O firewall e umas das ferramentas baseada na norma ISO/IEC 17799 que define o conceito do Sistema de Gesto da Segurana da Informao (SGSI), que consiste num instrumento de gesto baseada no gerenciamento de risco para estabelecer, implementar, operar, monitorar de forma proativa, revisar, manter e otimizar a segurana da informao de uma organizao.

A RFC 2828 (Request for Coments n 2828) refere-se ao termo firewall como sendo um elo entre redes de computadores que limitam o trfego de comunicao de dados entre a parte da rede que est sob os cuidados do firewall tanto interno como externo, protegendo-a assim das ameaas da rede de computadores que est posterior ao firewall. Esse mecanismo de proteo geralmente utilizado para proteger uma rede LAN (Rede Interna) de uma rede maior WAN (Internet).

Que um dispositivo baseado numa tcnica de combate a incndios que consiste na utilizao de portas corta-fogo (Firewall) que impedem a propagao do fogo em uma construo. Pode ser utilizado na forma de software e hardware ou combinados. Nos primrdios os firewalls usavam apenas filtragem de IP e portas para direcionar os pacote e para proteger a rede internamente de usurios externos, filtrar a navegao de contedo era uma tarefa rdua e infindvel. Assim so os firewalls mais comuns, eles tm a funo de verificar o cabealho de cada pacote que entra na rede interna e toma a deciso de permitir ou bloquear um determinado pacote baseado no IP usado e o numero da porta especificado no cabealho, na parte de TCP ou UDP.

Por mais que essa seja uma das principais funes de um Firewall, uma filtragem de pacotes usada dessa forma no o suficiente para garantir a estabilidade e nem a segurana na rede. O controle dos pacotes precisa ser mais esperto em quais pacotes devem ser esperados em resposta de um legtimo pedido de um usurio da rede interna e que pacotes no foram solicitados ou no deveriam ser solicitados e devem ser bloqueados(negados). Quando um Firewall recebe uma solicitao de um determinado cliente saindo, ele sabe que uma resposta chegar em breve, e que uma deciso ter que ser tomada, ele deve no somente permitir a chegada dos pacotes esperados de resposta, dever resolver se esse contedo de um solicitante permitido, se o contedo confivel e assim permitir ou negar a solicitao.

DECISO TECNOLGICA

Embora no seja o nico dispositivo de segurana de rede, o firewall um dos mais importantes, sendo essencial na infra-estrutura de segurana de qualquer organizao. Apesar disso, grande a incidncia de firewalls mal configurados ou at mesmo mal posicionados com relao topologia de rede das empresas.

As solues corporativas so muitas vezes mais fceis de configurar e administrar, pois geralmente oferecem manuais detalhados, suporte especializado, treinamento por parte de empresas especializadas. Porm, como se tratam de solues caras, e devido tambm falta de entendimento sobre a necessidade de empreg-las, comum as empresas consider-las muito mais como despesa do que como investimento.

No intuito de obter vantagem econmica, as empresas muitas vezes optam por utilizar solues gratuitas, como o iptables (firewall do sistema operacional Linux), que utilizado em grande parte dos casos. O grande problema que, apesar de tais solues serem eficazes, geralmente so ferramentas de difcil configurao e administrao, o que acaba por comprometer a segurana da rede.

Possibilidade de solues de firewall

Fortigate

Fortigate um appliance desenvolvido pela Fortinet, um equipamento desenvolvido e configurado para executar uma funo especfica dentro de um sistema, bem diferente do Linux, que nasceu para controlar diferentes tipos de hardwares. Fortigate lder no mercado de UTM (Unified Threat Management) e tem em seu portflio de produtos um leque abrangente de ofertas integradas de alta performance voltados para a proteo contra ameaas que simplificam a gesto da infra-estrutura de segurana da informao.

A escolha de firewal em forma de appliance tem sido uma grande tendncia para as empresas que tem se preocupado com segurana, confiabilidade, disponibilidade e alto rendimento de uma rede. Hoje, as empresas no esto se importando se software livre ou software pago. O que elas querem saber : vai resolver meu problema de forma rpida e eficaz? Terei suporte durante e aps instalao? Terei uma equipe com tcnicos especializados no produto a ser comprado para me atender quando necessrio?

Fortigate implementa todas as funes de segurana de gateway em tempo real sem comprometer a performance das redes e oferecendo todos os nveis de proteo para combater as ameaas mais sofisticadas. Sua performance sem precedentes deve-se ao chip customizado desenvolvido pela Fortinet que o coloca frente de qualquer dispositivo baseado em tecnologia Intel disponvel no mercado. Fortigate representa uma nova gerao de sistemas de proteo de redes em tempo real, detectando e eliminando as ameaas mais perigosas do trfego Web ou via email como vrus, worms, intrusos, contedo Web no permitido e muito mais, inspecionando todo o trfego, inclusive o criptografado como HTTPS. Alm da proteo no nvel de aplicao, os dispositivos Fortinet implementam firewall, vpn, ids/ips, traffic shaping, DLP, wan optimization, controles de aplicao e proteo anti-spam em plataformas de fcil gerenciamento. O produto oferece tecnologia superior com funes nicas em UTM como DLP, acelerao de rede e segurana em protocolos https, pops e imaps.

10

FortiManager um dispositivo para a gerncia de vrios equipamentos Fortigate em uma nica console e controle de cada configurao individual. Ele tambm pode centralizar o gerenciamento de todos os FortiClients da empresa implementando uma console completa de gerenciamento de antivrus de desktops. FortiMail um appliance (Um dispositivo ou um instrumento projetado para executar funes especficas) de controle de anti-spam com funes completas para gerenciamento de mensagens indesejadas e filtragem completa de anti-vrus. O produto licenciado sem limite de usurios e fornecido em dois

modelos. Implementa o modo transparente para ser facilmente instalado em ambientes complexos ou pode implementar um servidor de e-mail completo com todas as funes de segurana que a gerncia de spams exige. FortiAnalyzer centraliza os logs enviados por vrios equipamentos Fortinet na rede facilitando a gerncia de eventos e operaes de auditoria de segurana. Executa anlise de vulnerabilidades gerando relatrios com os problemas de segurana identificados em sua rede e sugesto para a sua

correo. FortiAnalyzer armazena logs, informaes de contedo como contas de origem, destino e tamanho de emails, pginas web acessadas, aes

de Instant Messenger como transferncias e at contedo de conversas, alm de gerar mais de 300 relatrios sobre a utilizao da rede. FortiSCAN um appliance para gerenciamento de vulnerabilidades com nfase nas reas de negcio, que permite a auditoria contnua de forma a garantir que a empresa siga polticas internas ou regulatrias para controles de TI. FortiDB um appliance de gerenciamento centralizado e escalvel para toda a empresa que fortalece a segurana de bancos de dados de vrios fabricantes, monitorando, auditando e executando anlise de vulnerabilidades de forma a garantir a aderncia a regulamentaes como SOX, PCI e outras. FortiWEB um firewall de aplicaes WEB e XML que protege, balanceia e acelera aplicaes WEB, bancos de dados e a informao que trafega entre eles. FortiClient um software de proteo de desktops e servidores que implementa: antivrus e antispyware certificados pela ICSALabs, firewall pessoal

11

com intrusion prevention (IPS), controle de aplicaes, anti-spam, filtro de contedo web com mais de 40 milhes de pginas categorizadas em 80 categorias, VPN IPSEC e gerenciamento centralizado atravs do FortiManager. A verso do produto que implementa apenas VPN IPSEC e firewall pessoal gratuita para clientes que adquiriram equipamentos Fortinet.

Pix Firewall CISCO

No foi desenvolvido para rodar em plataformas Linux ou Windows, mas possui um sistema embarcado (sistemas dedicados ao dispositivo que ele controla), conhecido como ASA (Adaptive Security Algorithm), que oferece a tecnologia de filtragem de pacotes por estado. Todo o trfego de entrada e sada controlado por polticas de segurana aplicadas nas tabelas de entrada, que armazenam todas as informaes de polticas. O acesso para qualquer sistema por trs do PIX somente permitido se esta foi validada e explicitamente configurada. Todos os modelos da Famlia Cisco Secure PIX Firewall possuem criptografia IPSEC 56 bits por default, permitindo conexes site-to-site e VPN de acessos remotos, e opera em um sistema operacional proprietrio que melhor protege a sua rede. Alm disso, tem a possibilidade de ser gerenciado pelo PIX Configuration Manager, sendo que o Cisco Secure Police Manager (CSPM) e o CiscoWorks2000 VPN/Security Management Solution(CWVMS) fazem o gerenciamento centralizado. (CISCO, 2010, p.1) Segundo Dias (2004, p. 6), o Pix firewall possui as seguintes vantagens: Soluo completa de hardware e software. Sem vulnerabilidades conhecidas dos sistemas operacionais Windows ou Unix; Uma vasta documentao proprietria da Cisco; Upgrades gratuitos; Suporte da Cisco que de um modo geral muito bom, porm Bressan (2003) contrape uma das vantagens ao afirmar que todo sistema possui vulnerabilidades.

IpTables Linux

O Linux possui um firewall padro integrado ao seu kernel: o IpTables. Este firewall tem ganhado popularidade entre os administradores de rede graas a sua

12

portabilidade e confiabilidade, alm de possuir uma fcil manuteno e manipulao do seu banco de restries em determinados cenrios. Os antecessores deste firewall so o IpChains e o Ipwadm, ambos acompanham o kernel 2.4.x, porm no esto mais ativos.

Segundo Alves et. Al. (2003), o IpTables tem a grande vantagem de ser muito estvel e confivel, e permite ao administrador da rede muita flexibilidade na programao de regras. A utilizao do IpTables proporciona estudos mais avanados dos seus recursos, como o filtro de pacotes e mdulos adicionais que existem para permitir a proteo das informaes. O firewall ideal para casos especficos, sendo que nem sempre a melhor soluo disponvel no mercado.

O firewall IpTables possui trs estruturas bsicas: a tabela filter, a tabela NAT (Network Address Translate) e a tabela mangle. Coelho (2004) cita que a filter table verifica o pacote, e caso exista, aplica a regra correspondente a ele; a tabela NAT um complemento na segurana, pois mascara os IPs (Internet Protocol) pblicos, traduzindo-os em endereos IP privados, e as mangles tables, ainda segundo o autor, alteram o pacote. So apresentadas algumas vantagens do IpTables: A especificao portas/endereo de origem/destino, o que auxilia na configurao das regras de filtragem; manipula servios de proxy na rede; um sistema rpido, estvel e seguro, a depender do hardware sobre o qual est rodando; possui mecanismos internos para rejeitar automaticamente pacotes com assinaturas duvidosas; possui mdulos externos para incremento de funcionalidades, entre outros. (OLIVEIRA, 2006, p. 1)

ISA Server

Segundo a Microsoft o Internet Security and Acceleration Server (ISA Server) um gateway de segurana que ajuda a proteger o seu ambiente de TI contra ameaas da Internet, ao mesmo tempo em que fornece a seus usurios um acesso remoto rpido e seguro aos dados e aplicaes (MICROSOFT, 2010)

13

O ISA Server pode ser configurado como um firewall, controlando a entrada e sada dos pacotes atravs de regras rgidas, um servidor de web cache que controla as requisies dos usurios a pginas web e armazena os dados acessados com maior freqncia e pode ainda ser configurado para ser utilizado com firewall e web cache ao mesmo tempo.

Segundo a Microsoft, essas so algumas caractersticas do ISA Server (MICROSFOT, 2010) Filtro a nvel de pacotes; Filtro a nvel de aplicao O ISA Server possui os seguintes filtros a nvel de aplicaes: HTTP Redirector Filter, FTP Access Filter, SMTP Filter, SOCKS Filter, RPC Filter, Streaming Media Filter, DNS Intrusion Detection Filter, POP Intrusion Detection Filter; Deteco de Intruso O ISA Server possui integrado um IDS capaz de detectar os ataques mais conhecidos como: DoS, Port Scanning; Acesso pblico atravs de VPN; Possui um assistente de configurao O assistente de configurao facilita ao administrador de rede na hora de criar e gerenciar as regras do ISA Server.

McAfee

McAfee Unified Threat Management (UTM) Firewall so appliances multifuncionais nicos que oferecem segurana completa para as redes. No importa se a empresa procura uma proteo abrangente para a Web com filtragem de contedo ou deteco de malware, ou apenas um firewall de segurana de rede, os appliances UTM Firewall so ideais. Esses appliances foram projetados para pequenas e mdias empresas, alm de sucursais de grandes empresas, lojas e escritrios remotos.

Os appliances UTM Firewall so totalmente integrados com anti-malware, preveno de intruses, proteo de rede, classificaes de reputao da TrustedSource e filtragem de Web para proteger contra ameaas conhecidas e desconhecidas. Cada appliance pode ser instalado como um firewall, um gateway de

14

VPN ou um appliance de segurana de UTM ou ainda como um appliance completo e unificado de Internet para redes de empresas, com todas as ferramentas necessrias para uma rede remota (WAN).

O UTM Firewall proporciona facilidade de gerenciamento de polticas e atualizaes, oferece recursos abrangentes de monitoramento e emisso de relatrios., possuem a habilidade de gerar informaes para o cumprimento das exigncias legais, simplificando os processos de auditorias. O McAfee UTM Firewall um appliance de Internet completo e unificado de segurana de redes adequado para pequenas e mdias empresas (SMBs). Ele oferece ferramentas de rede remota que normalmente so encontradas apenas em dispositivos de grande porte.

O UTM Firewall uma soluo completa para conectar em rede os computadores do escritrio, proporcionando a eles uma conexo segura Internet e WAN corporativa e atendendo a todas as necessidades de acesso remoto VPN. Os UTM Firewalls unificam todas as necessidades de rede, firewall, preveno de intruses e acesso remoto em um nico appliance de alta velocidade, alta confiabilidade e dimenses reduzidas. O McAfee UTM Firewall proporciona s empresas autonomia para configurar facilmente o escritrio com:

01.

Rede local de computadores (com ou sem fio, inclusive DHCP e todas as funes de roteamento de LAN).

02. 03.

Conexo Internet com filtragem de contedo por polticas. Conexo contnua LAN e WAN.

04.

Soluo completa de segurana perimetral (firewall, VPN, IDS/IPS, antivrus, email e filtragem de contedo da Web).

15

REFERNCIAS BIBLIOGRFICAS

http://www.gta.ufrj.br/grad/07_1/firewall/index_files/Page636.htm

http://www.infowester.com/firewall.php

http://www.allier.com.br/en/fabricantes/fortinet

http://www.trtec.com.br/pages/fortinet.html

http://www.gratisdicas.com.br/o-que-e-como-funciona-vantagens- desvantagens-firewall.html

http://www.artigonal.com/seguranca-artigos/firewall-uma-necessidade-na-internet1714615.html

DIAS, Thiago Francisco. CISCO PIX vs. Checkpoint Firewall

CISCO. Usando o PIX Firewall. Disponvel em

http://www.cisco.com/en/US/docs/security/pix/pix61/configuration/guide/overvw.html

ALVES, Danniel [et. al.]. Anlise comparativa entre duas solues que utilizam firewall e IDS. Disponvel em: http://wrco.ccsa.ufpb.br/wrco/?p=107.

16

Ferretto et al. (2002.)

COELHO, Fernando Resende. Firewall - IPTABLES. Workshop do POP-MG.

OLIVEIRA, Marcelo Fonseca de. Entendendo a teoria do IpTables. 2006. Disponvel em: http://www.vivaolinux.com.br/artigo/Entendendo-a-teoria-do-IpTables.

MICROSOFT. ISA Server. Disponvel em: http://www.microsoft.com/brasil/servidores/isaserver/default.mspx

McAfee do Brasil www.mcafee.com.br