Firewall

Firewalls
A Primeira Linha de Defesa

Como montar uma estrutura de
firewall que impea invases.
Segurana de Rede
Prof. Joo Bosco M. Sobral
Por que Firewall ?
Hoje, o mundo respira Internet.

A Internet que o mundo respira no segura.
Security Module (2003):
Pesquisa Nacional de Segurana da Informao.

60% : Internet o principal ponto de invaso.
78% : ameaas, riscos e ataques tendem a aumentar em
2004.
32% : crackers so os principais invasores.
26% : no conseguem identificar os responsveis.
Nmero de empresas com ataques e invases:
43% (2002) e 77% (2003).
Segurana de Rede
Por que Firewall ?
Internet
Uma imensa rede descentralizada e no
gerenciada, rodando sob uma sute de
protocolos denominada IPv4, que no foi
projetada para assegurar a integridade
das informaes e realizar controles de
acesso.
Segurana de Rede
Por que Firewall ?
De que forma um software denominado

Firewall consegue mudar este paradigma ?
Existem diversas formas de se violar uma

rede, mas essas formas nada mais fazem do
que se aproveitar de falhas em servios de
rede e protocolos.
Segurana de Rede
Por que Firewall ?
Mas o que um Firewall poder fazer por tais

servios e protocolos ?
Neste sentido, pouco ser a utilidade de um
Firewall.
Um Firewall no pode corrigir erros em servios e
protocolos.
Mas, se disponibilizarmos todos os servios que
precisamos e limitarmos seu uso apenas a redes
autorizadas ou a certos hosts confiveis ?
Segurana de Rede
Por que Firewall ?
Quem far essa separao ?

Quem bloquear conexes desconhecidas e no
autorizadas em minha rede ?
Esta uma das utilidades de um Firewall.
Sem um Firewall, cada host na rede interna, seria
responsvel por sua prpria segurana.
Sendo o nico computador diretamente conectado
Internet, poder de forma segura levar servios de
inter-conectividade rede interna.
Segurana de Rede
Por que Firewall ?
Um Firewall no possui a funo de

vasculhar pacotes a procura de assinaturas
de vrus.
Um Firewall poder evitar que a rede interna
seja monitorada por Trojans e que os
mesmos troquem informaes com outros
hosts na Internet.
Poder evitar que a rede interna seja
vasculhada por um scanner de portas.
Segurana de Rede
Por que Firewall ?
Poder bloquear qualquer tentativa de conexo

vinda da Internet para um host na rede interna.
Mas, as ameaas esto to somente na Internet ?
FBI : 90% das invases bem sucedidas a servidores

corporativos, os usurios da rede (autorizados)
tiveram algum nvel de parcela de culpa.
senhas mal escolhidas.

usurios descontentes.
Segurana de Rede
Por que Firewall ?
As ameaas passam a vir de todos os lados:

Internet e rede interna (corporativa).
Um firewall poder bloquear tanto o acesso

externo, como acesso interno, liberando
apenas para algumas mquinas.
Segurana de Rede
Conceito de Firewall
destinados rede
Mecanismo de segurana interposto entre

a rede interna (corporativa) e a rede
externa (Internet), com a finalidade de liberar
ou bloquear o acesso de computadores
remotos na Internet, aos servios que so
oferecidos dentro de uma rede corporativa.
Firewall junto ao Kernel do Linux
Segurana de Rede
10
Conceito de Firewall
destinados uma Mquina
Tambm, temos os Firewalls Home,

destinados a uma mquina ou uma estao
de trabalho (workstation).
Exemplo: ZoneAlarm para Windows.
Segurana de Rede
11
Firewalls
Sendo um firewall o ponto de conexo com a

Internet, tudo o que chega rede interna deve
passar pelo firewall.
responsvel pela aplicao de regras de
segurana.
E em alguns casos pela autenticao de usurios,
por logar trfego para auditoria.
mecanismo obrigatrio num projeto de segurana.
Segurana de Rede
12
Por que Firewall ?
Um Firewall poder especificar que tipos de

protocolos e servios de rede sero
disponibilizados, tanto externa quanto
internamente.
Segurana de Rede
13
Por que Firewall ?
Um Firewall pode controlar os pacotes de

servios no confiveis:
rlogin,
telnet,
FTP,
NFS,
DNS,
LDAP,
SMTP,
RCP,
X-Window.
Segurana de Rede
14
Por que Firewall ?
Pode realizar compartilhamento de acesso

Internet a toda a rede interna sem permitir a
comunicao direta entre as mesmas.
Bloquear acesso indevido a sites e hosts

no-autorizados.
Segurana de Rede
15
Por que Firewall ?
Porque as empresas devem se conectar

Internet com algum nvel de preparo
especfico para este fim.
Segurana de Rede
16
Lembrando ...
Nada evitar que ameaas, ataques e

invases continuem a existir.
O que definir se sero bem sucedidas ou

no ser o conhecimento embutido em seu
Firewall e demais ferramentas de segurana.
Segurana de Rede
17
Kernel e Firewall
Tudo o que chega ou sai de um

computador processado pelo kernel do
sistema operacional desse computador.
No Linux, as funes de Firewall so

agregadas prpria arquitetura do kernel.
O Linux tem a capacidade de transformar o

Firewall no prprio sistema.
Segurana de Rede
18
Firewall no Linux
No Linux, no preciso comprar um Firewall

corporativo carssimo.
Firewall open source, gratuito.
Segurana de Rede
19
Firewall para Linux
Sinus Firewall
Universidade de Zurique.
Um pouco diferente do Ipchains.
Recurso de linguagem de programao prpria,
sob forma de scripts.
http://www.ifi.unizh.ch/ikm/SINUS/firewall.html
Segurana de Rede
20
Firewall para
Linux, BSD, Solaris
Ipfilter
Firewall utilizado no OpenBSD, FreeBSD e

Solaris.
Linux RedHat 4.2 .
Utilizado por muitos administradores por ser
seguro e confivel.
http://coombs.anu.edu.au/~avalon/ip-filter.html
Segurana de Rede
21
Firewall para Linux
Netfilter e IPTables
kernel 2.4.x
filtragem de pacotes e NAT
http://netfilter.filewatcher.org/
IPTables ferramenta de Front-End que permite
configurar o Netfilter.
IPTables compe a 4 gerao de Firewalls no
Linux.
Projeto IPTables/Netfilter GNU/Linux
www.iptables.org
www.netfilter.org
Segurana de Rede
22
Funes Netfilter / IPTables
Filtro de pacotes.
Mascaramento.
QoS sob trfego.
Suporte a SNAT e DNAT para redirecionamento de endereos e portas.
Segurana de Rede
23
Mascaramento
Tcnica para colocar toda uma rede interna

atrs de um Firewall, usando-se IPs invlidos
(classe A, 10.0.0.0), no sentido de proteger
servidores de invases.
Quando tm-se pouqussimos IPs e tem-se que
disponibilizar o acesso para muitos servidores.
Habilita uma mquina Firewall a traduzir de um
IP vlido para n IPs invlidos internos.
Segurana de Rede
24
IPTables e Netfilter
Deteco de fragmentos.
Monitoramento de trfego.
Regular a prioridade com TOS (Type of
Service).
Bloqueio a ataques Spoofing, Syn-Flood,
DoS, scanners ocultos, pings da morte, ...
Opo de utilizar mdulos externos para
composio de regras.
Segurana de Rede
25
Sntese IPTables
Flag
Tabela
Comando
Ao
Alvo
Segurana de Rede
26
Estrutura de um pacote IPv4

Verso (4 bits)
Tamanho do Cabealho (4bits)

Tipo de Servio (1 byte)
Tamanho Total (4 bytes)

Identificao (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP / UDP / ICMP (1 byte)
Checksum do Cabealho (4 bytes)
Endereo IP de Origem (4 bytes)
Endereo IP de Destino (4 bytes)
Opes + Padding (4 bytes opcional)

Dados TCP / UDP / ICMP
(at 65.511 ou 65.515 bytes)
Segurana de Rede
Segmentos: TCP ou UDP ou ICMP
27
Firewall - IP Tables
Segurana de Rede
28
Sntese do IPTables
...>iptables [flag] [tabela] [comando]

[ao] [alvo]
[flag] :
-t
[tabela] :
filter (tabela padro, default)
nat
(-t nat)
mangle (- mangle)
Uma tabela uma rea na memria para
armazenar as regras juntamente com os chains
(parmetros das tabelas).
Segurana de Rede
29
Comandos no IPTables
[comando] : manipula a tabela atravs das regras e

chains correspondentes.
-A anexa a regra ao fim da lista j existente.

-D apaga a regra especificada.
-L lista as regras existentes na lista.
-P altera a poltica padro das chains.
-F remove todas as regras, ou remove todas as regras
referentes a um determinado chain.
-I insere uma nova regra, mas no incio da lista de
regras.
-R substitui uma regra j adicionada por outra.
-N permite inserir uma nova chain na tabela
especificada.
-E Renomeia uma nova chain criada.
-X apaga uma chain criada pelo administrador do
Firewall.
Segurana de Rede
30
Aes no IPTables
[ao] :
especifica o protocolo,
as interfaces de rede,
endereo de origem do pacote (IP) e mscara de
sub-rede,
endereo de destino do pacote (IP),
exceo a uma determinada regra,
para onde um pacote pode ser direcionado
(alvo),
aplicar filtros com base na porta de origem,
aplicar filtros com base na porta de destino.
Segurana de Rede
31
Alvos IPTables
[alvo] : quando um pacote se adequa a uma regra, ele

deve ser direcionado a um alvo e quem
especifica a prpria regra.
Os alvos aplicveis so:
ACCEPT
DROP
REJECT
LOG
RETURN
QUEUE
SNAT
DNAT
REDIRECT
TOS
Segurana de Rede
32
Detalhes de NAT
SNAT
DNAT
Proxy Transparente
Segurana de Rede
33
NAT
uma forma de mascaramento.

Muito utilizado em roteadores.
S que desempenha funo de
encaminhamento de pacotes (forwarding).
Tcnica til quando se deseja colocar um
servidor Web ou servidor de email, atrs de
um Firewall, usando-se IPs falsos, com
intuito de escond-los contra invases.
Segurana de Rede
34
IPTables - Tabela NAT
Funes de um Firewall NAT
SNAT (Source Nat)

(traduo de endereo IP de origem)
DNAT (Destination NAT)

(traduo de endereo IP de destino)
Transparent Proxy
Segurana de Rede
35
SNAT
O Firewall altera o endereo IP ou porta de

origem, antes dos pacotes serem enviados.
O Firewall pode enviar um pacote do host A

ao host B e informar ao host B que tal
pacote foi enviado pelo host C.
Segurana de Rede
36
SNAT
Qualquer regra aplicada a SNAT utiliza-se

somente da chain POSTROUTING.
Antes de iniciarmos a manipulao de

qualquer regra da Tabela NAT, tem-se que
habilitar a funo de re-direcionamento
(forward) no kernel Linux:
>echo 1 > /proc/sys/net/ipv4/ip_forward
Segurana de Rede
37
Exemplo 1: SNAT
>iptables t nat A POSTROUTING s

10.0.3.1 o eth1 j SNAT to 192.111.22.33
Com IPTables informamos ao Netfilter que atribua

tabela NAT (-t nat) sob o chain (POSTROUTING) (os
pacotes devem ser modificados aps o tratamento de
roteamento).
Uma nova regra (-A) ao fim da lista.
Qualquer pacote que tenha como origem o host 10.0.3.1

(-s 10.0.3.1) e que deve sair pela interface eth1 (-o
eth1) deve ter seu endereo de origem alterado (-j
SNAT) para 192.111.22.33 (to 192.111.22.33).
Segurana de Rede
38
Exemplo 2: SNAT
>iptables t nat A POSTROUTING s 10.0.3.0/8 o

eth0 j SNAT to 192.111.22.33
Com IPTables informamos ao Netfilter que atribua tabela NAT (-t

nat) sob o chain (POSTROUTING) (os pacotes devem ser
modificados aps o tratamento de roteamento).
Qualquer pacote que tenha como origem o host 10.0.3.0/8 (-s

10.0.3.1/8) e que deve sair pela interface eth0 (-o eth0) deve
ter seu endereo de origem alterado (-j SNAT) para
192.111.22.33 (to 192.111.22.33).
Segurana de Rede
39
Exemplo 3: SNAT
>iptables t nat A POSTROUTING s 10.0.3.1 o

eth0 j SNAT to 192.111.22.33-192.111.22.66

tabela NAT (-t nat) sob o chain (POSTROUTING) (os
pacotes devem ser modificados aps o tratamento de
roteamento).

(-s 10.0.3.1) e que deve sair pela interface eth0 (-o
eth0) deve ter seu endereo de origem alterado (-j
SNAT) para qualquer IP na faixa 192.111.22.33
192.111.22.66
(to 192.111.22.33Segurana
de Rede
40
192.111.22.66).
DNAT
Altera o endereo IP ou porta de destino, dos

pacotes que atravessam o Firewall, antes do pacote
ser enviado ao seu destino final.
Receber um pacote destinado porta 80 do host

A e encaminh-lo porta 3128 do host B.
Possibilita o desenvolvimento de:
Proxies transparentes,
Balanceamento de carga.
Segurana de Rede
41
DNAT
Usar somente o chain PREROUTING.
Antes de iniciarmos a manipulao de

qualquer regra da Tabela NAT, tem-se que
habilitar a funo de re-direcionamento
(forward) no kernel Linux:
>echo 1 > /proc/sys/net/ipv4/ip_forward
Segurana de Rede
42
Exemplo 1: DNAT
>iptables t nat A PREROUTING s 10.0.3.1

i eth1 j DNAT to 192.111.22.33

tabela NAT (-t nat) sob o chain (PREROUTING) (os
pacotes devem ser redirecionados logo que chegam).

(-s 10.0.3.1) e que entre pela interface eth1 (-i
eth1) deve ter seu endereo de destino alterado (-j
DNAT)
(to
Segurana
de Rede para 192.111.22.33
Prof. Joo Bosco
M. Sobral192.111.22.33)
43
Exemplo 2: DNAT
>iptables t nat A PREROUTING i eth0 j

DNAT to 192.11.22.10-192.11.22.13

tabela NAT (-t nat) sob o chain PREROUTING (os
E que qualquer pacote que entre na interface eth0 (-i

eth0), independente de quem o enviou deve ser
automaticamente redirecionado aos hosts 192.11.22.10,
192.11.22.11, 192.11.22.12,
192.11.22.13 (to
Segurana de Rede
44
192.11.22.10-192.11.22.13).
Exemplo 3: DNAT
>iptables t nat A PREROUTING i eth2 j

DNAT to 192.11.22.58:22

E qualquer pacote que entre na interface eth2 (i

eth2), independente de quem o enviou, deve ser
automaticamente redirecionado ao host 192.11.22.58 (
to 192.11.22.58:22),
e, independente da porta
Segurana de Rede
45
solicitada, dever ser enviado porta 22 (servio SSH).
Proxy Transparente
Transparente: parece no existir, mas existe.
Redireciona portas em um mesmo host de

destino.
No confundir com DNAT, que altera o endereo

de destino de pacotes de uma mquina A para uma
mquina B, atravs do Firewall. Redireciona IPs.
Segurana de Rede
46
Exemplo: Proxy-Cache Squid
Squid tem por padro disponibilizar consultas

Web atravs da porta 3128, enquanto que a
maioria dos clientes Web costumam realizar
solicitaes porta 80 (padro HTTP).
Com Firewall IPTables + Squid numa mesma

mquina Linux, o Proxy Transparente pode
ser configurado.
Segurana de Rede
47
Firewall + Proxy
Segurana de Rede
48
Firewall como Proxy

Transparente
>iptables t nat A PREROUTING i eth0

p tcp dport 80 j REDIRECT to-port 3128

E qualquer pacote que entre na interface eth0 (i

eth0) e encaminhado porta 80 (dport 80) deve ser
imediatamente redirecionado
(j REDIRECT) porta 312849
Segurana de Rede
deste mesmo host (to-port 3128).
Firewalls em Hardware
Netgear
http://www.netgear.com
TRENDware
http://trendware.com
D-Link
http://www.dlink.com
Segurana de Rede
50
Firewalls em software
para Windows
Zone Alarm
http://www.zonelabs.com
Tiny Personal Firewall
http://www.tinysoftware.com
Sygate Personal Firewall
http://soho.sygate.com
Personal Firewall
http://www.mcafee.com
Segurana de Rede
51
Firewalls em software
para Windows
Look n Stop
http://www.looknstop.com
Norton Internet Security
http://www.symantec.com
Outpost Firewall
http://www.agnitum.com
Segurana de Rede
52
Firewalls em Software
Ferramenta de Firewall padro do sistema

operacional.
O kernel 2.4.x do LINUX traz uma inovao

no que diz respeito ferramenta de firewall
padro do sistema: os firewalls para LINUX.
O Windows XP tambm tem um firewall ?
Segurana de Rede
53
Firewalls em Software
Desenvolver um Firewall para LINUX:

Falcon Firewall Project
http://falcon.naw.de
Estudando o cdigo-fonte deste firewall, pode-se

obter o entendimento de como firewalls funcionam e
modific-lo para proteger-se de ameaas mais
recentes na Internet.
Segurana de Rede
54
Problemas com Firewalls
Os novatos no tm idia de como avali-los.
Como leva tempo para configur-los, a

maioria dos usurios iniciantes
provavelmente iro configur-lo de forma
errada, dando um falso senso de segurana.
Segurana de Rede
55
S se consegue proteger conexes chegando e

saindo do computador via Internet.
Nada pode ser feito para impedir o acesso por uma

linha telefnica, atravs de um dispositivo de
acesso sem fio, ou atravs do teclado se algum
estiver fisicamente usando o computador.
Segurana de Rede
56
Firewalls podem ser enganados.
Por exemplo, um hacker poderia renomear

um Cavalo de Tria de acesso remoto, que
acesse a Internet, de forma que ele tenha o
mesmo nome que um programa na lista dos
programas permitidos, como por exemplo,
um navegador Web.
Segurana de Rede
57
Podem ser contornados com uma tcnica

chamada tnel de firewall, que
simplesmente usa quaisquer portas e
protocolos permitidos pelo firewall.
Segurana de Rede
58
Dois produtos que permitem tnel de

firewall:
RemFTP
http://www.remftp.com
HTTP-Tunnel
http://www.http-tunnel.com
Segurana de Rede
59
Avaliando Firewalls
Aprender sobre detalhes, escolher o melhor,

fazendo comparaes tcnicas:
Home PC Firewall Guide
http://www.firewallguide.com
Firewall.com
http://firewall.com
Segurana de Rede
60
Avaliando Firewalls
Firewall.net
http://www.firewall-net.com
Free-Firewall.org
http://www.free-firewall.org
Segurana de Rede
61
Testar a capacidade de Firewalls
LeakTest
http://grc.com/lt/leaktest.htm
FireHole
http://keir.net/firehole.html
OutBound
http://www.hackbusters.net/ob.html
PC Flank
http://www.pcflank.com
Segurana de Rede
62
Testar a capacidade de Firewalls
Port Detective
http://www.portdetective.com
YALTA
http://www.soft4ever.com/security_test/En/index.htm
TooLeaky
http://tooleaky.zensoft.com
Um programa de teste pode dizer se o firewall est

protegendo o seu computador.
Segurana de Rede
63
Avaliando Firewalls
Enquanto, no experimentar vrios firewalls

diferentes, voc nunca poder saber quo
indefeso, determinado firewall acabar
sendo.
Segurana de Rede
64
Avaliando Firewalls
Porque, um firewall pode no ter certas

funes imprescindveis, que outro talvez
oferea.
Segurana de Rede
65
Lista de Firewalls
Firewalls acadmicos:
assinaturas em majordomo@net.tamu.edu
Lista compilada de firewalls:

assinaturas em www.gnac.net/firewalls
Segurana de Rede
66

Firewall

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Firewall

Caricato da

Copyright:

Formati disponibili

Firewalls

A Primeira Linha de Defesa

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Hoje, o mundo respira Internet.

Pesquisa Nacional de Segurana da Informao.

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Prof. Joo Bosco M. Sobral

Por que Firewall ?

De que forma um software denominado

Existem diversas formas de se violar uma

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Mas o que um Firewall poder fazer por tais

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Quem far essa separao ?

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Um Firewall no possui a funo de

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Poder bloquear qualquer tentativa de conexo

Mas, as ameaas esto to somente na Internet ?

FBI : 90% das invases bem sucedidas a servidores

senhas mal escolhidas.

Prof. Joo Bosco M. Sobral

Por que Firewall ?

As ameaas passam a vir de todos os lados:

Um firewall poder bloquear tanto o acesso

Prof. Joo Bosco M. Sobral

Mecanismo de segurana interposto entre

Firewall junto ao Kernel do Linux

Prof. Joo Bosco M. Sobral

Tambm, temos os Firewalls Home,

Exemplo: ZoneAlarm para Windows.

Prof. Joo Bosco M. Sobral

Sendo um firewall o ponto de conexo com a

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Um Firewall poder especificar que tipos de

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Um Firewall pode controlar os pacotes de

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Pode realizar compartilhamento de acesso

Bloquear acesso indevido a sites e hosts

Prof. Joo Bosco M. Sobral

Por que Firewall ?

Porque as empresas devem se conectar

Prof. Joo Bosco M. Sobral

Nada evitar que ameaas, ataques e

O que definir se sero bem sucedidas ou

Prof. Joo Bosco M. Sobral

Tudo o que chega ou sai de um

No Linux, as funes de Firewall so

O Linux tem a capacidade de transformar o

Prof. Joo Bosco M. Sobral

No Linux, no preciso comprar um Firewall

Firewall open source, gratuito.

Prof. Joo Bosco M. Sobral

Firewall para Linux