1

FACULDADE DE TECNOLOGIA DE JOO PESSOA - FATEC CURSO PS-GRADUAO EM SEGURANA DA INFORMAO

VAMBERTO DE FREITAS ROCHA JUNIOR

ESTUDO E IMPLEMENTAO DE FIREWALL EM AMBIENTES CORPORATIVOS

JOO PESSOA PB 2010

VAMBERTO DE FREITAS ROCHA JUNIOR

ESTUDO E IMPLEMENTAO DE FIREWALL EM AMBIENTES CORPORATIVOS

Monografia apresentada ao Curso de Ps-Graduao em Segurana da Informao Faculdade de Tecnologia de Joo Pessoa - FATEC, como prrequisito para a obteno do ttulo de Especialista em Segurana da Informao.

Orientador: Prof. D.Sc. Alexandre Scaico

JOO PESSOA - PB 2010

_____

ROCHA JUNIOR, Vamberto de Freitas. Estudo e implementao de firewall em ambientes corporativos / Vamberto de Freitas Rocha Junior Joo Pessoa, 2010. 98f.

Monografia (Curso Ps-Graduao em Segurana da Informao) Faculdade de Tecnologia de Joo Pessoa FATEC 1. Segurana da Informao. 2.Firewall. I. Ttulo. FATTC / __
CDU _________

VAMBERTO DE FREITAS ROCHA JUNIOR

ESTUDO E IMPLEMENTAO DE FIREWALL EM AMBIENTES CORPORATIVOS

Monografia apresentada ao Curso de Ps-Graduao em Segurana da Informao Faculdade de Tecnologia de Joo Pessoa - FATEC, como pr-requisito para obteno do Ttulo de Especialista em Segurana da Informao, apreciada pela Banca Examinadora composta pelos seguintes membros:

Aprovado (X) Reprovado ( ) Data: 13 / 03 / 2010

BANCA EXAMINADORA

____________________________________________________ Prof. D.Sc. Alexandre Scaico Orientador UFPB ____________________________________________________ Prof. M.Sc CNDIDO JOS RAMOS EGYPTO Examinador ____________________________________________________ Prof. MBA RICARDO ROBERTO DE LIMA Examinador

AGRADECIMENTOS

Aos meus pais, Vamberto e Helena, por serem os melhores pais do mundo e sempre me ajudarem e apoiarem em tudo na minha vida. Minha irm Cristina e meu sobrinho Guilherme por todas as alegrias que j me proporcionaram. Em especial a minha noiva Thas, que me ajudou no s neste trabalho, mas em meu dia a dia e vem tornando a minha vida melhor a cada dia que convivemos. Ao orientador e amigo Alexandre Scaico que mais uma vez, mesmo sem nenhuma obrigao, me ajudou neste trabalho. Suas crticas, sugestes e ensinamentos foram de grande importncia no desenvolvimento desta monografia. Aos Colegas de trabalho do Tribunal Regional Eleitoral de Pernambuco Sabrina, Junior, Fernando, Akio, Elthon, Tarcisio, Alexandre e Clarissa, por me receberem to bem no TRE-PE e me ajudarem no dia a dia no trabalho. A todos aqueles que me apoiaram e me ajudaram de alguma forma no desenvolvimento e concluso deste trabalho.

6 ROCHA JUNIOR, Vamberto de Freitas. Estudo e Implementao de Firewall em Ambientes Corporativos. Joo Pessoa, 2010.

RESUMO

Com o avano da tecnologia tornou-se indispensvel que as empresas possuam uma estrutura tanto para prover a seus funcionrios acesso a Internet, como para fornecer acesso externo as suas aplicaes para seus parceiros e clientes. Com as inmeras vantagens que este acesso proporciona como a conectividade entre redes distintas, correio eletrnico, comunicao eficiente e barata entre pessoas, etc.; vieram tambm inmeros problemas, principalmente no que diz respeito segurana dos dados. Embora no seja o nico dispositivo de segurana de rede, o firewall um dos mais importantes, sendo essencial na infra-estrutura de segurana de qualquer organizao. Apesar disso, grande a incidncia de firewalls mal configurados ou at mesmo mal posicionados com relao topologia de rede das empresas. Este trabalho realiza um estudo sobre as caractersticas, conceitos, tipos, e importncia do firewall na infra-estrutura de segurana de uma organizao, apresentando ainda alguns modelos de firewalls corporativos e uma abordagem terica e tcnica sobre a implementao e implantao corretas do firewall do sistema operacional Linux, o iptables. Para contemplar toda a fundamentao terica apresentada neste trabalho, realizado um estudo de caso hipottico apresentando uma empresa fictcia e como ser a implantao e implementao corretas do IPtables para esta organizao.

Palavras-chave: Firewall. Iptables. Segurana da informao.

7 ROCHA JUNIOR, Vamberto de Freitas. Estudo e Implementao de Firewalls em Ambientes Corperativos.

Joo Pessoa, 2010.

ABSTRACT
The technology is advancing, it became indispensable to the companies to own an infrastructure either to provide Internet access to their employees either to provide external access to their applications to their partners and clients. This access provides uncountable advantages like connectivity between distinct networks, email, and a cheap and reliable way to people to communicate with each other. With the benefits came the pros, mainly related to data security. Although it is not the only available network security device. The firewall is one of the most important, been the essential in the security infra-structure of any corporation. Even the firewall is really important its not hard to find firewalls without the proper configurations or even sitting in the wrong place of the network topology. This paper performs an study case about the characteristics, concepts, kinds and the importance of the firewall in the security network infra-structure of one corporation. Presenting some ways the firewalls can be settled on corporations, with theoretical and technical understanding about the provisioning of an iptables firewall. The firewall of the Linux operational system. To cover all the theoretical foundation presented in this paper, we conducted a hypothetical case study featuring a fictitious company and how will the deployment and implementation of IPtables correct for this organization

Keywords: Firewall. Iptables. Information Security.

8 Sumrio 1 INTRODUO.................................................................................................. 12
1.1 Motivao ............................................................................................................... 13 1.2 Objetivos ................................................................................................................. 13 1.2.1 Objetivo Geral .................................................................................................. 14 1.2.2 1.3 Objetivos Especficos........................................................................................ 14 Organizao do Trabalho ......................................................................................... 14

SEGURANA DA INFORMAO ................................................................. 16

2.1 Definio ................................................................................................................. 16 2.2 Ciclo de Vida da informao..................................................................................... 17 2.3 Fundamentos da Segurana da Informao ............................................................. 18 2.3.1 Ativo ................................................................................................................ 18 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 Ameaa ............................................................................................................ 19 Vulnerabilidade................................................................................................ 19 Risco ................................................................................................................ 20 Impacto ........................................................................................................... 20 Incidente.......................................................................................................... 21

2.4 Normas e Padres ................................................................................................... 21 2.5 Tcnicas de Ataque e Vulnerabilidades .................................................................... 23 2.5.1 Tcnicas de Obteno de informaes ............................................................. 23 2.5.2 2.5.3 Ataques de Negao de Servio ....................................................................... 26 Ataques no Nvel da Aplicao ......................................................................... 27

2.6 Mtodos e Ferramentas de Segurana ..................................................................... 29 2.6.1 Firewall ............................................................................................................ 29 2.6.2 2.6.3 2.6.4 2.6.5 VPN.................................................................................................................. 29 IDS ................................................................................................................... 30 Poltica de Segurana ....................................................................................... 31 Criptogrfica .................................................................................................... 32

FIREWALL ........................................................................................................ 35
3.1 Definio ................................................................................................................. 35 3.2 Conceitos................................................................................................................. 36 3.2.1 Nat................................................................................................................... 36 3.2.2 3.2.3 3.2.4 VPN.................................................................................................................. 38 Bastion Hosts ................................................................................................... 40 Zona Desmilitarizada (DMZ) ............................................................................. 40

3.3 Tipos de Firewalls .................................................................................................... 41 3.3.1 Firewall a Nvel de Pacotes ............................................................................... 42 3.3.2 3.3.3 Firewall a Nvel de Pacotes Baseado em Estados .............................................. 45 Firewall a Nvel de Aplicao ............................................................................ 46

9
3.4 Arquitetura .............................................................................................................. 47 3.4.1 Dual-Homed..................................................................................................... 47 3.4.2 3.4.3 Screened Host Architecture ............................................................................. 49 Screened Subnet Architecture .......................................................................... 50

3.5 Firewalls Corporativos ............................................................................................. 51 3.5.1 Check Point FW-1 ............................................................................................. 51 3.5.2 3.5.3 3.5.4 ISA Server ........................................................................................................ 53 Cisco ASA ......................................................................................................... 55 IPtables ............................................................................................................ 57

IPTABLES .......................................................................................................... 58
4.1 Definio ................................................................................................................. 58 4.2 Pr-Requisitos e Instalao ...................................................................................... 60 4.3 Estrutura ................................................................................................................. 60 4.4 Funcionamento do IPtables ..................................................................................... 63 4.5 Criando as Regras .................................................................................................... 66 4.5.1 Opes e Parmetros do Iptables ..................................................................... 66 4.5.2 Sintaxe e Exemplos .......................................................................................... 68 4.6 Erros na Implantao de um Firewall ....................................................................... 71 4.6.1 Erros de Posicionamento do Firewall................................................................ 71 4.6.2 4.7 Erros na Criao das Regras.............................................................................. 75 Vantagens X Desvantagens ...................................................................................... 77

ESTUDO DE CASO HIPOTTICO ................................................................. 79

5.1 Caractersticas da Rede ............................................................................................ 79 5.1.1 Caractersticas Fsicas da Rede ......................................................................... 80 5.1.2 Caractersticas Lgicas da Rede ........................................................................ 81 5.2 Levantamento de Requisitos .................................................................................... 82 5.3 Soluo Proposta ..................................................................................................... 83 5.3.1 Posicionamento do Firewall na Rede ................................................................ 85 5.3.2 5.4 Criao das Regras do Iptables ......................................................................... 87

Consideraes Finais Sobre o Estudo de Caso Hipottico ......................................... 90

6 7 8

Concluso ........................................................................................................... 91 BIBLIOGRAFIA ............................................................................................... 93 Apndice I: Script do Firewall ........................................................................... 96

10

LISTA DE FIGURAS

Figura 1: Ciclo de vida da Informao ...................................................................................... 18 Figura 2: Funcionamento do IDS.............................................................................................. 30 Figura 3: Criptografia de chave simtrica................................................................................. 33 Figura 4: Criptografia de chave assimtrica ............................................................................. 34 Figura 5: Traduo de Endereo IP .......................................................................................... 37 Figura 6: VPN .......................................................................................................................... 38 Figura 7: Exemplo de uma DMZ ............................................................................................... 41 Figura 8: Cabealho IP ............................................................................................................. 43 Figura 9: Cabealho TCP .......................................................................................................... 43 Figura 10: Cabealho UDP ....................................................................................................... 43 Figura 11: Firewall a nvel de Pacotes ...................................................................................... 44 Figura 12: Filtro de Pacotes Dinmico ..................................................................................... 46 Figura 13: Arquitetura Dual-Homed host ................................................................................. 48 Figura 14: Arquitetura Screened Host ..................................................................................... 49 Figura 15: Arquitetura Screened subnet .................................................................................. 50 Figura 16: Funcionamento do FW-1 ........................................................................................ 52 Figura 17: Editor de polticas do Check Point ........................................................................... 53 Figura 18: Cisco ASA serie 5500 ............................................................................................... 56 Figura 19: Estrutura do Iptables .............................................................................................. 63 Figura 20: Funcionamento do iptables .................................................................................... 64 Figura 21: Posicionamento Errado Ex.1 ................................................................................... 72 Figura 22: Posicionamento Errado Ex.2 ................................................................................... 73 Figura 23: Posicionamento Errado Ex.3 ................................................................................... 74 Figura 24: Posicionamento Correto ......................................................................................... 74 Figura 25: Topologia da Rede .................................................................................................. 86

11

LISTA DE QUADROS

Quadro 1: Endereos IPs Privados ........................................................................................... 36 Quadro 2: Exemplo de regras genricas .................................................................................. 44 Quadro 3: Comparativo das verses Standard e Enterprise do ISA Server ................................ 55 Quadro 4: Comparao entre modelos Cisco ASA 5500 ........................................................... 57 Quadro 5: Manipulando Chains e Tabelas ............................................................................... 67 Quadro 6: Especificando portas, interfaces, endereos ips e protocolo ................................... 68 Quadro 7: Especificando o Alvo ............................................................................................... 68 Quadro 8: Endereos IPs da Rede Interna e Externa ................................................................ 82 Quadro 9: Endereos ips da rede DMZ .................................................................................... 87

12 1 INTRODUO Com o avano da tecnologia tornou-se indispensvel que as empresas possuam uma estrutura tanto para prover a seus funcionrios acesso a Internet, como para fornecer acesso externo as suas aplicaes para seus parceiros e clientes. Sendo assim, milhares de empresas nos dias atuais possuem uma infra-estrutura de acesso a Internet. Com as inmeras vantagens que este acesso proporciona como a conectividade entre redes distintas, correio eletrnico, comunicao eficiente e barata entre pessoas, etc.; vieram tambm inmeros problemas, principalmente no que diz respeito segurana dos dados. O administrador de rede ou o especialista em segurana deve se preocupar com os mais variados tipos de ataques. Dentre os mais conhecidos, podemos citar o Buffer Overflow, Denial Of Services, Spoofing, DNS Poisoning, Smurf e um tipo que no faz uso de ferramentas conhecido como Engenharia Social, que consiste em se obter acesso s informaes dos usurios, tais como senhas, atravs de contatos fraudulentos com os funcionrios nas prprias empresas, etc. O termo rede segura no existe. A partir do momento que mquinas so ligadas em rede, elas passam a ser alvo dos mais variados tipos de ataques, vindos tanto da rede externa (Internet) como da prpria rede interna, e passa a existir a possibilidade de seu bem mais valioso (a informao), ser roubada ou destruda. de responsabilidade do administrador de rede e de especialistas em segurana criar ou utilizar mecanismos para dificultar o trabalho dos invasores. Como contramedida aos ataques mencionados acima, o administrador de rede conta com uma gama muito grande de ferramentas e tcnicas de defesa com o intuito de proteger a rede da corporao. Dentre as ferramentas e mtodos mais conhecidos, podemos citar: poltica de segurana, IPS/IDS, VPN, criptografia e firewall. Firewall pode ser definido, de acordo com NAKAMURA e GEUS (2007), como componente ou conjunto de componentes que restringe o acesso entre uma rede protegida e a Internet, ou entre outros conjuntos de redes. Partindo desta definio, este trabalho tem por finalidade discutir melhor este componente da infra-estrutura de segurana, apresentando alguns firewalls corporativos e alguns erros cometidos por

13 administradores de rede na sua implantao em relao topologia de rede e na implementao de suas regras de segurana. 1.1 Motivao Embora no seja o nico dispositivo de segurana de rede, o firewall um dos mais importantes, sendo essencial na infra-estrutura de segurana de qualquer organizao. Apesar disso, grande a incidncia de firewalls mal configurados ou at mesmo mal posicionados com relao topologia de rede das empresas. As solues corporativas so muitas vezes mais fceis de configurar e administrar, pois geralmente oferecem manuais detalhados, suporte especializado, treinamento por parte de empresas especializadas. Porm, como se tratam de solues caras, e devido tambm falta de entendimento sobre a necessidade de empreg-las, comum as empresas consider-las muito mais como despesa do que como investimento. No intuito de obter vantagem econmica, as empresas muitas vezes optam por utilizar solues gratuitas, como o iptables (firewall do sistema operacional Linux), que utilizado em grande parte dos casos. O grande problema que, apesar de tais solues serem eficazes, geralmente so ferramentas de difcil configurao e administrao, o que acaba por comprometer a segurana da rede. A falta de entendimento por parte dos administradores com relao importncia do firewall, juntamente com as falhas cometidas por administradores de rede na sua implantao em relao topologia de rede e na implementao de suas regras de segurana, motivaram a escrita deste trabalho. Como parte integrante do trabalho, um estudo de caso hipottico criado com base na experincia do autor apresenta um modelo correto de implantao e implementao do firewall iptables. 1.2 Objetivos Nesta seo, sero apresentados o objetivo geral e os especficos deste trabalho.

14 1.2.1 Objetivo Geral O objetivo geral deste trabalho realizar um estudo sobre as caractersticas, conceitos, tipos e importncia do firewall na infra-estrutura de segurana de uma organizao bem como apresentar, no estudo de caso hipottico no captulo cinco, um modelo correto de sua implementao e implantao. 1.2.2 Objetivos Especficos Apresentar conceitos importantes relacionados segurana da informao; Conceituar, caracterizar e descrever de uma forma geral o firewall; Apresentar solues corporativas de firewalls; Apresentar mais detalhadamente o iptables, firewall do Sistema Operacional Linux; Apresentar erros cometidos por administradores na implementao das regras e na implantao de um firewall; Projetar e elaborar um firewall baseado no iptables para uma empresa fictcia; 1.3 Organizao do Trabalho Este trabalho est organizado em seis captulos e um anexo, a saber:

Captulo 1 Apresenta a contextualizao do tema, o problema. A motivao e os objetivos da monografia. Apresenta tambm uma estrutura da mesma;

Captulo 2 Trata da segurana da informao: seus conceitos, normas, padres, tipos de ataques, vulnerabilidades e a sua importncia no mbito das organizaes;

15 Captulo 3 Apresenta um dos dispositivos mais importantes na infra-estrutura de segurana, o firewall. Ser discutido o seu conceito, sua importncia, sua arquitetura, as categorias existentes e uma apresentao dos principais firewalls corporativos existentes no mercado; Captulo 4 Ser apresentado o iptables, firewall open source do Sistema Operacional Linux, sua definio, funcionamento, criao das regras. As vantagens e desvantagens sero discutidos neste captulo; Captulo 5 Ser apresentando um estudo de caso hipottico para contemplar toda a fundamentao terica vista neste trabalho onde ser utilizado o iptables para criao de um firewall para uma empresa fictcia; Captulo 6 Neste captulo sero apresentadas as concluses deste trabalho e sero apontadas as propostas de continuidade ao mesmo. Apndice I Neste apndice ser apresentado um script com as regras iptables referentes ao estudo de caso hipottico.

16 2 SEGURANA DA INFORMAO Com o avano da tecnologia se tornou indispensvel que as empresas se conectem a clientes, parceiros, fornecedores ou at um simples acesso a internet por parte de seus funcionrios. Com as inmeras vantagens que o avano da tecnologia proporciona vieram tambm inmeros problemas, principalmente do que diz respeito a segurana dos dados. A informao sempre foi um bem de grande importncia para as empresas e com esta abertura ela est cada vez mais exposta, da vem a necessidade cada vez maior de proteg-la. Neste capitulo ser apresentado o que a segurana da informao, sero abordados alguns conceitos importantes para o seu entendimento, em seguida sero discutidos os tipos de ataques mais conhecidos bem como os mtodos e ferramentas de segurana. 2.1 Definio Para podermos entender o que a segurana da informao devemos saber primeiramente o que a informao. Segundo a norma ISO/IEC 177991, a informao um ativo importante para a organizao e como qualquer outro ativo necessita ser protegido. Ela pode se apresentar de vrias formas, a saber: falada, escrita, eletrnica. Seja qual for a forma de como a informao se apresente, ela deve ser adequadamente protegida. De acordo com a norma ISO/IEC 17799, podemos definir a segurana da informao da seguinte maneira:
Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. (Norma ISO/IEC 17799, 2005, p.9)

De acordo com SMOLA (2003) a segurana da informao tem como objetivo a preservao de trs princpios bsicos:

A norma ISO/IEC 17799 um conjunto de recomendaes que trata a segurana da informao

17 Confidencialidade Toda informao deve ser protegida, sendo o seu acesso permitido apenas a pessoas autorizadas; Integridade Toda informao deve ser mantida na mesma condio em que foi disponibilizada pelo seu proprietrio, sem sofrer modificaes sem autorizao; Disponibilidade A informao deve estar sempre disponvel para aqueles que possuam autorizao de acess-la. 2.2 Ciclo de Vida da informao A informao um ativo de grande importncia em qualquer organizao, ela define os processos internos e externos. Para protegermos a informao necessrio entendermos o seu ciclo de vida, o momento em que ela criada at o momento em que ela destruda. Segundo SMOLA (2003, p. 10). independentemente da forma como a informao representada - seja por tomos ou por bits - todos os momentos se aplicam.. SMOLA (2003) ainda diz que o ciclo de vida da informao formado pelas seguintes partes: Manuseio: Momento em que a informao criada e manipulada, seja na digitao de um documento, ao alimentar um sistema; Armazenamento: Momento em que a informao armazenada, seja em um banco de dados, anotao em papeis, servidor de arquivos, mdias digitais; Transporte: Momento em que a informao transportada, seja encaminha por e-mail, envio por fax, ou at mesmo falar ao telefone; Descarte: Momento em que a informao descartada, seja em enviar algum documento para a lixeira, apagar um e-mail, destruir mdias digitais.

18 Na Figura 1 apresentado o ciclo de vida da informao. Para garantir a segurana da informao necessrio que cada uma dessas etapas esteja protegida, caso apenas uma esteja comprometida significa uma falha na segurana da informao como um todo.

Manuseio

Descarte

Armazenamneto

Transporte

Figura 1: Ciclo de vida da Informao Fonte: Adaptado de SMOLA (2003)

2.3

Fundamentos da Segurana da Informao Cada vez mais as empresas esto dando uma maior importncia a segurana

da informao, e para entend-la melhor se faz necessrio saber quais o itens que a fundamentam, quais so os seus conceitos. Esta seo tem por objetivo apresentar alguns conceitos importantes na segurana da informao, a saber: ativo, ameaa, vulnerabilidade, risco, impacto e incidente. 2.3.1 Ativo Segundo SMOLA (2003 p.45) um ativo : todo elemento que compe os processos que manipulam e processam a informao. Podemos considerar ativo, algo de valor para a organizao como: software e hardware, pessoas, instalaes.

19 Para um melhor gerenciamento da segurana da informao os ativos devem ser divididos e classificados de acordo com o seu grau de importncia e criticidade para a organizao. 2.3.2 Ameaa Podemos definir ameaa como sendo agentes ou condies que exploram as vulnerabilidades, causando assim incidentes aos ativos e comprometendo o negcio da organizao. No meio tecnolgico comum os especialistas em segurana das empresas se preocuparem apenas com ameaas e pragas virtuais, porm, em segurana da informao o especialista deve se preocupar com todos os tipos de ameaas que possam vir a comprometer o negcio da empresa. De acordo com SMOLA (2003) esses so alguns exemplos de ameaas: Naturais So decorrentes de fenmenos da natureza como: incndios, tempestades, terremotos; Voluntrias Ameaas propositais causadas por agentes humanos como hackers, espies, ladres, incendirios; Involuntrias Ameaas inconscientes, quase sempre causadas pelo desconhecimento. 2.3.3 Vulnerabilidade Podemos definir vulnerabilidade como sendo uma falha existente em um ou mais ativos que pode ou no ser explorada por uma ameaa. As vulnerabilidades por si s no causam incidentes, elas apenas so brechas para que uma possvel ameaa cause. No meio tecnolgico comum os especialistas em segurana das empresas se preocuparem apenas com as vulnerabilidades ligadas a tecnologia como problemas com hardware e software, porm, em segurana da informao o especialista deve se preocupar com todos os tipos de vulnerabilidades que possam vir a comprometer o negcio da empresa.

20 De acordo com SMOLA (2003) esses so alguns exemplos de vulnerabilidades: Naturais incndios, enchentes, terremotos, aumento de umidade e temperatura; Fsicas Instalaes fora do padro, falta de equipamentos antiincndios; Hardware Desgaste natural das placas, erros durante a instalao; Software Erros na instalao e configurao podem facilitar acessos indevidos; Mdias Discos, fitas podem ser perdidos ou danificados; Comunicao Acesso no autorizado ou perda da comunicao; Humanas Falta de treinamento, compartilhamento de informaes confidenciais, sabotagens. 2.3.4 Risco Segundo SMOLA (2003 p.50) risco : Probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando impactos nos negcios. O risco calculado com base na relao entre a probabilidade de um ataque acontecer e o impacto que ele causar para a organizao, com base nesse clculo que as empresas iro identificar quais os pontos que necessitam de um maior investimento na segurana da informao. 2.3.5 Impacto Segundo SMOLA (2003 p.50) impacto : Abrangncia dos danos causados por um incidente de segurana sobre um ou mais processos do negcio O impacto causado a um ativo de baixa importncia no o mesmo causado a um de alta importncia, por isso vem a necessidade de classificar os ativos de acordo

21 com o grau de importncia para a organizao para montar uma melhor estratgia com o objetivo de diminuir o impacto causado pelos incidentes caso eles venham a acontecer. 2.3.6 Incidente

Um incidente caracteriza-se por uma violao ao ativo da organizao, causado por uma ou mais ameaas que explorou uma ou mais vulnerabilidade, levando a perda dos princpios bsicos da segurana da informao: confiabilidade, integridade e disponibilidade, trazendo assim impactos negativos ao negcio da empresa. O objetivo principal da segurana da informao fazer com que esses incidentes no ocorram, e caso venham a acontecer, que j exista na organizao uma estratgia para garantir a continuidade do negcio e minimizar o dano causado pelo incidente. 2.4 Normas e Padres As normas e padres surgiram com o objetivo de padronizar e melhorar os processos de produo de bens e servios das organizaes. As duas principais normas que padronizam a segurana da informao no Brasil so: A NBR ISO/IEC 17799 e a NBR ISO/IEC 27001. Essas normas visam assegurar a continuidade e minimizar o dano ao negcio da organizao, prevenindo e minimizando o impacto de eventuais incidentes de segurana. A norma NBR ISO/IEC 17799 estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. bem abrangente, ela consiste em 12 captulos, 39 objetivos de controle e 133 controles. A norma NBR ISO/IEC 27001 prov um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI), ela utilizada quando a empresa deseja obter o certificado ISO para a segurana da informao. Entre os principais captulos que compem esta norma podemos destacar: Cap.4 - Sistema de gesto da segurana da informao, Cap.5 Responsabilidade da direo, Cap.6 Auditorias internas, Cap. 7 Anlise crtica do SGSI pela direo e Cap.8 Melhoria do SGSI.

22 A diferena entre as duas normas que a NBR ISO/IEC 17799 um guia que mostra a utilizao de controles para melhorar a segurana da informao na organizao, enquanto a NBR ISO/IEC 27001 trata do Sistema de Gerenciamento de Segurana da Informao (SGSI), ela refere-se aos requisitos de um sistema de gesto da informao. Entre algumas vantagens de se implantar a NBR ISO/IEC 17799 e a NBR ISO/IEC 27001 podemos citar: So normas reconhecidas mundialmente; Aumentam a credibilidade da empresa; Recuperao de incidentes de segurana com maior facilidade e agilidade; Garantia de qualidade nos servios de manuseio e uso da informao. Entre outras normas que auxiliam a segurana da informao, podemos citar a seguintes: NBR ISO/IETC 27003 - Guia de implementao de um Sistema de Gerenciamento de Segurana da Informao (SGSI); NBR ISO/IETC 27004 Guia de verificao se os processos e controles aplicados esto sendo eficazes; NBR ISO/IETC 27005 - Cuida da gesto de riscos da segurana da informao; NBR ISO/IETC 27006 - Norma de requisitos para a acreditao de organizaes que oferecem servios de certificao de sistemas de gesto da SI.

23 2.5 Tcnicas de Ataque e Vulnerabilidades Mesmo se tratando de tcnicas que muitas vezes possuem como objetivo sabotar o negcio da organizao, obter informaes, etc, o responsvel pela segurana da informao da empresa dever possuir um bom conhecimento sobre cada um dos tipos apresentados nesta seo para poder montar a melhor estratgia de defesa. Esta seo ir apresentar algumas das principais tcnicas de ataque que os invasores utilizam, a saber: Engenharia social, packetsniffing, scanning de vulnerabilidades, DoS, IP spoofing, buffer overflow, smurf, pragas virtuais. 2.5.1 Tcnicas de Obteno de informaes Nas tcnicas de invaso baseadas em obteno de informaes o atacante tem por objetivo coletar o mximo de informaes possveis sobre o alvo, por exemplo, quais so os endereos IPs externos, qual a verso do SO dos servidores e quais os servios que rodam nele. A partir da obteno dessas informaes que o atacante traar a melhor estratgia para invadir a organizao. Os principais ataques de obteno de informaes so: Engenharia social, packetsniffing, port scanning, scanning de vulnerabilidades Segundo NAKAMURA e GEUS (2007) conhecer o terreno e coletar informaes sobre o alvo o primeiro passo para um ataque bem sucedido. A seguir sero apresentados os principais ataques para obteno de informaes. 2.5.1.1 Engenharia social Muitos especialistas em segurana preocupam-se apenas em atualizar os patches de segurana das aplicaes, utilizar as ferramentas mais modernas para proteo de rede, utilizar regras rgidas no firewall, etc. Mas se esquecem de outro item capaz de comprometer a segurana da informao de uma organizao, o ser humano. O ataque de engenharia social consiste em explorar a fraqueza humana para a obteno de informao. Um bom exemplo deste tipo de ataque o invasor se fazer

24 passar por um alto funcionrio da empresa e procura obter informaes como: senhas, usurios de acesso, informaes sigilosas. A principal forma de se proteger contra esse tipo de ataque realizando campanhas educativas com todos os funcionrios da empresa, o uso de uma poltica de segurana centralizada e bem divulgada tambm ajuda na preveno deste ataque. 2.5.1.2 Packet Sniffing O ataque packet sniffing consiste em uma tcnica que o atacante utiliza para obteno de informaes atravs da captura do trfego de rede. Para o invasor fazer uso desse tipo de ataque ele tem que ter acesso a rede, com uso de softwares como wireshark e tcpdump2 o invasor coleta o trfego de rede, obtendo assim informaes valiosas como: senhas, e-mails, e at mesmo conversas realizadas por softwares de troca de mensagem.(NAKAMURA e GEUS, 2007) Para o administrador de rede proteger a rede contra esse tipo de ataque ele pode fazer o uso dos seguintes recursos: Fazer uso de switchs ao invs de hubs Com o uso de switch o trfego direcionado para apenas a porta de destino e no em broadcast como no uso de hubs; Utilizar VLANs A utilizao de VLANs aumenta a segurana da rede, pois ela ficar mais segmentada. Utilizao de criptografia Com o uso de criptografia mesmo que o atacante colete o trfego da rede, ele no vai conseguir entendlos. 2.5.1.3 Port Scanning O port scanning uma tcnica que consiste em o atacante obter informaes sobre os servios que esto acessveis atravs do scanning das portas TCP e UDP conhecidas. O nmap um dos port scanning mais conhecidos e utilizados, com ele o

O wireshark e o Tcpdump so softwares sniffers ,ou seja, servem para coletar dados da rede.

25 invasor capaz de descobrir os servios que esto sendo utilizados por uma determinada mquina, alm do sistema operacional que ela roda. Segundo NAKAMURA e GEUS (2007) para detectar que a rede esta recebendo um port scanning necessrio o uso de um Intrusion Detection System (IDS), porm, algumas tcnicas como slow scan, que consiste em um scanning de portas de forma lenta e o random port scan, que consiste em um scanning de portas de forma aleatria, podem enganar o IDS. 2.5.1.4 Scanning de vulnerabilidades O scanning de vulnerabilidades uma tcnica que o atacante utiliza para obter informaes sobre as vulnerabilidades nos servios que esto sendo executados na mquina. Abaixo sero listados alguns riscos que so detectados com os scanners de vulnerabilidades de acordo com NAKAMURA e GEUS (2007): Compartilhamentos de arquivos que no so protegidos por senhas; Software desatualizado; Configuraes erradas em servios; Falhas no nvel de protocolos.

Os scanners de vulnerabilidades no so utilizados apenas por invasores, muitos administradores de rede e segurana fazem uso deles para realizar uma auditoria na rede, detectando os pontos vulnerveis e assim corrigindo-os. 2.5.1.5 IP spoofing O IP spoofing uma tcnica com a qual o atacante mascara o endereo IP real que ele utiliza. Segundo NAKAMURA e GEUS (2007), essa tcnica muito utilizada em tentativas de acesso a sistemas nos quais a autenticao tem como base o endereo IP. As organizaes podem se proteger do ataque IP spoofing com o uso de filtros de acordo com as interfaces de rede.

26 Apesar de o referido ataque ter sido apresentado nos tipos de ataques referente a obteno de informaes, o IP spoofing pode ser enquadrado tambm nos tipos de ataque de negao de servio, que sero apresentados logo a seguir. 2.5.2 Ataques de Negao de Servio Os ataques baseados na negao de servio, tambm conhecidos como DoS, consistem em deixar o servio oferecido por um servidor indisponvel. So utilizadas tcnicas com o objetivo de sobrecarregar a rede ou o servidor a tal ponto do servio ficar indisponvel para os usurios que desejam acess-lo. Os principais ataques de negao de servio so: SYN flooding e o Smurf. Uma variao do ataque de negao de servios o DDoS - Distributed Denial of Service (ataque distribudo de negao de servio). O principio o mesmo utilizado pelo ataque de negao de servio, a diferena que este tipo de ataque realizado por um grupo de mquinas. A seguir os ataques SYN flooding e o Smurf sero apresentados de forma mais detalhada. 2.5.2.1 SYN Flooding O SYN flooding uma tcnica com o qual o atacante explora o estabelecimento de conexes TCP. Este ataque consiste no envio de um grande nmero de solicitaes de conexo (Pacotes SYN3), de forma que o servidor no consegue responder a todas elas, a pilha de memria sofre ento um overflow e as requisies dos usurios legtimos so, ento, rejeitadas. (NAKAMURA e GEUS, 2007) Alguns autores como (Urubatan Neto, 2004) sugerem que uma forma de se defender de ataques de SYN flood com a utilizao do mdulo limit do firewall iptables, ele atua limitando as conexes de acordo com o tempo estabelecido na criao da regra do firewall. Na opinio do autor deste trabalho o uso do mdulo limit para se defender de ataques de SYN flood equivocada, este mdulo no capaz de distinguir se a conexo SYN est sendo realizada por um atacante ou por uma pessoa que est simplesmente querendo acessar o sistema. O uso desse mdulo para limitar as conexes
3

Os pacotes SYN (sincronismo) so o primeiro passo para iniciar qualquer conexo TCP.

27 SYN pode, portanto, prejudicar os usurios comuns que esto querendo acessar o sistema. 2.5.2.2 Smurf O ataque smurf consiste em enviar uma grande quantidade de pacotes Internet Control Message Protocol (ICMP) echo request para toda rede, ou seja, em broadcast, tendo o endereo IP da vtima como endereo de origem dessa requisio. A rede toda ira responder essa requisio com o ICMP echo replay deixando assim a mquina da vtima indisponvel. (NAKAMURA e GEUS, 2007) Uma forma de se defender desse tipo de ataque configurar o roteador da rede para rejeitar pacotes do tipo broadcast, tal configurao j vem realizada por default em muitos roteadores. 2.5.3 Ataques no Nvel da Aplicao Os ataques no nvel de aplicao exploram as vulnerabilidades presentes nas aplicaes. Nesta seo sero apresentados alguns dos mais relevantes ataques no nvel de aplicao, a saber: buffer overflow, pragas virtuais (vrus, worms e cavalos de tria). 2.5.3.1 Buffer Overflow Segundo NAKAMURA e GEUS (2007), no ataque do tipo buffer overflow o invasor explora vulnerabilidades no cdigo das aplicaes, no qual o controle da memria temporria para armazenamento de dados (buffer) no realizado de maneira adequada. O principal objetivo desse tipo de ataque conseguir invadir e controlar o programa que possua essa vulnerabilidade e posteriormente assumir o controle do sistema operacional. Esta forma de ataque no possui uma defesa especfica, sendo muito difcil inclusive a sua deteco. A defesa contra este tipo de ataque reativa, assim que a tentativa de ataque buffer overflow for detectada pelo administrador de rede, ele deve comunicar aos desenvolvedores da aplicao que devero criar patchs de atualizao para corrigir a falha.

28 2.5.3.2 Vrus, Worms e Cavalos de Tria Os vrus, worms e cavalos de tria constituem uma ameaa cada vez mais constante e danosa nas organizaes. Muitos administradores de rede e analistas de segurana tratam, erroneamente, essas pragas, e outras que no foram citadas, apenas como vrus. Cada tipo de praga se comporta de uma maneira diferente, causando danos diferentes, por isso que elas devem ser tratadas de forma separadas. A seguir sero descritos as principais pragas virtuais, a saber: Vrus, worm, cavalo de tria. (NAKAMURA e GEUS, 2007) Vrus Podemos definir vrus como um programa de computador que se anexa a outros programas danificando-os a medida que vo se espalhando, um detalhe importe e que diferencia os vrus de outras pragas, como worms, que para um vrus infectar um sistema ele necessita ser executado; Worms Podemos definir um worm como sendo um programa capaz de se propagar automaticamente na rede, causando malefcios a mesma, enviando copias de si mesmo de computador para computador. O que diferencia o worm de um vrus que ele no adiciona uma cpia de si mesmo a outros programas e ele no necessita ser executado para infectar um sistema; Cavalo de Tria Podemos definir um cavalo de tria como sendo um programa que alm de realizar as funes normais para que ele foi criado, realiza tambm funes maliciosas como deixar portas abertas. O que diferencia o cavalo de tria de vrus e worms que o cavalo de tria no se propaga na rede. Para se defender deste tipo de ataque necessrio o uso de software antivrus atualizado. Para as empresas recomendado que elas utilizem as solues corporativas de antivrus, pois elas proporcionam um maior controle, por exemplo, scanners programados, relatrios de mquinas que esto com as vacinas desatualizadas, se foi detectado alguma praga.

29 2.6 Mtodos e Ferramentas de Segurana Com o avano da tecnologia os invasores esto utilizando tcnicas e ferramentas cada vez mais sofisticadas para alcanarem o seu objetivo. Em contrapartida, as empresas especializadas em segurana ento criando constantemente tcnicas e ferramentas de segurana cada vez mais modernas para combater a ao desses invasores. O administrador de rede ou o analista em segurana deve criar ou utilizar as mais variadas ferramentas de segurana com o objetivo de dificultar ao mximo a ao dos invasores. Nesta seo sero apresentadas algumas das ferramentas mais utilizadas para a segurana de rede em ambientes corporativos, a saber: Firewall, VPN, IDS, criptografia e poltica de segurana. 2.6.1 Firewall Firewall pode ser definido, de acordo com NAKAMURA e GEUS (2007), como componente ou conjunto de componentes que restringe o acesso entre uma rede protegida e a Internet, ou entre outros conjuntos de redes. Embora no seja o nico dispositivo de segurana de rede, o firewall um dos mais importantes, sendo essencial na infra-estrutura de segurana de qualquer organizao. Um maior detalhamento sobre firewalls incluindo o seu funcionamento, tipos, topologias, etc. ser apresentado no captulo trs. 2.6.2 VPN As Redes Privadas Virtuais (VPNs) so uma ferramenta de grande importncia na segurana da informao, ajudando a preservar a confiabilidade, autenticidade e a integridade dos dados. Elas permitem a conexo segura, atravs da rede pblica, de duas ou mais redes separadas fisicamente. Um maior detalhamento sobre o funcionamento, protocolos de segurana, topologias das VPNs ser apresentado no captulo 3, seo 3.2.2 deste trabalho.

30 2.6.3 IDS O Intrusion Detections System (IDS) um sistema de deteco de intruso que possui como principal objetivo o de detectar atividades suspeitas, imprprias, incorretas ou anmalas. (NAKAMURA e GEUS, 2007) Segundo NAKAMURA e GEUS (2007) essas so algumas caractersticas dos sistemas de deteco de intruso: Monitoramento e anlise das atividades dos usurios e sistemas; Anlise baseada em assinaturas de ataque conhecidas; Anlise de atividades anormais; Deteco em tempo real; Deteco de erros de configurao do sistema.

Na Figura 2 apresentado o funcionamento de um IDS. O pacote chega ao firewall que ento ir analis-lo; se o firewall decidir bloquear o pacote ser ento descartado, se decidir aceit-lo, o pacote ser ento enviado ao IDS. Se o IDS entender que um trfego legtimo ele no efetuar nenhuma ao, caso ele entenda que o trfego suspeito ele poder tomar trs atitudes: detectar, analisar ou responder.

Figura 2: Funcionamento do IDS Fonte: Adaptado de NAKAMURA e GEUS (2007)

O IDS pode ser dividido em duas categorias: o baseado em rede Network Based Intrusion Detection System (NIDS) e o Host Based Intrusion Detection System (HIDS). Cada um dos dois tipos indicado para situaes diferentes, por exemplo, para detectar ataques vindos de outras redes indicado o uso do NIDS, enquanto que para os

31 servidores da DMZ e da rede interna indicado o uso do HIDS. As organizaes muitas vezes utilizam os dois tipos para prover um maior nvel de segurana. O HIDS um sistema de deteco de intruso que realiza o monitoramento no prprio host, checando informaes de arquivos de logs do prprio sistema. Ele capaz de detectar acessos e modificaes a arquivos do sistema, modificao de privilgios, deteco de port scanning. O NIDS um sistema de deteco de intruso que atua no segmento de rede. Eles podem ser divididos em duas partes: os sensores, que so responsveis pela captura e anlise dos pacotes e o gerenciador que controla os sensores A deteco realizada pela captura de pacotes de rede que ento sero analisados e comparados com as assinaturas de ataques conhecidos. Um ponto negativo a ser considerado no uso de IDSs a grande incidncia de falsos positivos, ou seja, a deteco de um ataque por parte do IDS quando na verdade um acesso permitido e os falsos negativos, ou seja, um acesso que o IDS considera normal quando na verdade uma tentativa de ataque. 2.6.4 Poltica de Segurana Podemos definir uma poltica de segurana como sendo um documento formal comporto de normas e procedimentos que devem ser seguidos por todos (clientes, parceiros, funcionrios e fornecedores) que fazem uso da informao na organizao. Ela trata de aspectos humanos, culturais, tecnolgicos, de uma organizao. Segundo a norma NBR ISO/IETC 17799:2005 o objetivo da poltica de segurana Prover uma orientao e apoio da direo a segurana da informao de acordo com os requisitos do negocio e com as lei e regulamentaes relevantes. Para a implantao de uma poltica de segurana em uma organizao necessrio primeiramente a identificao dos recursos que so crticos a ela, definindo e analisando os objetivos que desejam serrem alcanados juntamente com suas necessidades, discusses com diferentes reas da empresa se faz necessrio para que a poltica de segurana atue na empresa como um todo e por fim, um documento formal dever ser apresentado ao alto escalo da empresa. Aps a sua aprovao, uma

32 campanha de conscientizao deve ser realizada com os clientes, parceiros, funcionrios e fornecedores. 2.6.5 Criptogrfica Podemos definir a criptografia como sendo um conjunto de tcnicas com o objetivo de codificar uma determinada informao de forma que apenas quem enviou e quem recebeu tenham acesso a ela. Ela possui uma importncia fundamental na segurana da informao, pois a criptografia preserva propriedades importantes da segurana dos dados como: sigilo, integridade, autenticidade, no-repdio. Podemos dividi-la em criptografia de chave privada ou simtrica e criptografia de chave pblica ou assimtrica. (NAKAMURA e GEUS, 2007) A criptografia de chave privada ou simtrica o emissor e o receptor fazem o uso da mesma chave para criptografar e descriptografar as mensagens, o tipo mais simples de se implementar e faz uso de algoritmos como: Data Encryption Standard (DES), 3DES, Ron Rivest (RC6), Advanced Encryption Standard (AES) criptografar as mensagens. Entre as vantagens que os algoritmos de chave simtrica proporcionam podemos destacar a rapidez com que os arquivos so criptografados e descriptografados, porm, uma desvantagem deste tipo est na segurana j que a mesma chave que utilizada a cifrar o documento utilizada para decifrar, durante o envio desta chave a conexo pode ser interceptada por um invasor comprometendo assim o sigilo do documento. Na Figura 3 apresentado o uso da criptografia de chave privada, ou simtrica. Bob criptografa o texto limpo utilizando uma chave simtrica, Alice ento recebe o texto cifrado juntamente com a chave (a mesma utilizada para criptografar o texto limpo) para descriptografar, tornando o texto ento limpo novamente. para

33

Figura 3: Criptografia de chave simtrica Fonte: Prprio Autor (2010)

A criptografia de chave pblica ou assimtrica realizada utilizando duas chaves: uma pblica e outra privada. O emissor cifra uma mensagem utilizando a chave pblica disponibilizada pelo receptor, aps o envio da mensagem o receptor decifra a mensagem utilizando a sua chave privada. Este tipo mais complexo do que a criptografia simtrica e faz uso de algoritmos como: Rivest, Shamir and Adleman(RSA), Rabin. Entre as vantagens que os algoritmos de chave assimtrica proporcionam podemos destacar a segurana. Eles fazem uso de duas chaves: uma pblica e uma privada para cifrar e decifrar a mensagem, em contra partida ao ganho em segurana esta a perda de desempenho, segundo NAKAMURA e GEUS (2007) os algoritmos de chave assimtrica podem ser at 70 vezes mais lentos do que os algoritmos de chave simtrica. Na Figura 4 apresentado um exemplo do uso da criptografia de chave pblica, ou assimtrica. Bob criptografa o texto limpo com a chave pblica de Alice, o texto cifrado enviado para Alice que descriptografa utilizando a sua chave privada, tornando o texto limpo novamente.

34

Figura 4: Criptografia de chave assimtrica Fonte: Prprio Autor (2010)

35 3 FIREWALL Com o crescente nmero de ataques, originados tanto da rede interna como principalmente da Internet, surgiu a necessidade das empresas utilizarem mecanismos de defesa para, se no anular, dificultar ao mximo a ao dos invasores. Uma das ferramentas mais utilizadas para proporcionar tal defesa o firewall. Nos dias atuais inconcebvel possuir uma rede com infra-estrutura de acesso externo e no possuir um firewall como a sua principal linha de defesa. Neste captulo ser apresentada uma definio sobre o que esta ferramenta indispensvel na infra-estrutura de segurana das empresas. Sero abordados conceitos importantes para uma melhor compreenso do seu funcionamento, discutidos os tipos de firewall existentes e a sua arquitetura em relao topologia da rede e por fim, sero apresentados alguns modelos de firewall corporativos. 3.1 Definio Uma definio mencionada por KUROSE (2007) que o firewall uma combinao de hardware e software que isola a rede interna de uma organizao da Internet em geral, permitindo que alguns pacotes passem e bloqueando outros. O autor deste trabalho no considera esta a melhor definio, pois, o firewall no serve apenas para isolar a rede interna da externa, ele pode ser utilizado para criar uma proteo na prpria rede interna, visto que muitos ataques so originados dela mesma. A melhor definio sobre firewall foi feita por NAKAMURA e GEUS que define o firewall da seguinte forma:

O firewall um ponto entre duas ou mais redes, que pode ser um componente ou conjunto de componentes, por onde passa todo o trfego, permitindo que o controle, a autenticao e os registros de todo o trfego sejam realizados. (NAKAMURA e GEUS, 2007, p. 221).

Partindo desta definio, podemos entender que o firewall muito mais do que uma barreira que protege a rede interna da externa. O firewall pode ser utilizado

36 tambm para separar diferentes sub-redes dentro de uma mesma organizao, controlar o trfego a servidores especficos. 3.2 Conceitos Com o passar do tempo o firewall foi evoluindo, deixando de ser dispositivo apenas para controle de trfego, sendo agregadas a ele novas funcionalidades, como network address translation (NAT) e gateway VPN. Nesta seo sero apresentados conceitos importantes para um melhor entendimento sobre firewall 3.2.1 Nat O Network Address Translation (NAT) uma tcnica que foi criada com o objetivo de diminuir a escassez de endereos IPs vlidos na Internet, ele responsvel por converter endereos de rede privada para endereos vlidos e roteveis. O endereamento IP pode ser dividido em: endereos IPs roteveis, que so utilizados na internet, tambm chamados de endereos pblicos e os endereos IPs que no so roteveis, tambm chamados de endereos privados, utilizados em redes privadas, por exemplo, rede interna de uma empresa, rede residencial, etc. No Quadro 1 so apresentadas as classes de endereos IPs privados de acordo com a RFC4 1918. Classe Classe A Classe B Classe C Faixa de Endereo IP 10.0.0.0 10.255.255.255 172.16.0.1 172.31.255.255 192.168.0.0 192.168.255.255 Mscara 255.0.0.0 255.255.0.0 255.255.255.0

Quadro 1: Endereos IPs Privados Fonte: Prprio autor (2010)

Vamos considerar uma rede que possui cinqenta mquinas e que elas necessitam ter acesso a Internet. Caso o NAT no existisse e a empresa no quisesse fazer uso de um firewall a nvel de aplicao (proxy5), cada uma dessas mquinas necessitaria ter um endereo IP pblico para prover tal acesso. Com o uso desta tcnica
4 5

RFC um documento que descreve os padres de cada protocolo da Internet Proxy um sistema que atua como gateway entre duas redes.

37 basta que um host (uma mquina ou um roteador) que possua o NAT habilitado tenha um IP ou um pequeno nmero de IPs pblicos. Outra vantagem que ele possui que a rede que faz o uso do NAT para acesso a Internet possui as mquinas da rede interna com endereo IP privado, e o mesmo no rotevel na Internet, as mquinas da rede externa no conseguiro iniciar uma conexo com destino a rede interna, proporcionando assim uma maior segurana. De acordo com TANENBAUM (2003) O NAT funciona da seguinte forma: suponha que uma mquina com IP 192.168.10.202 deseja acessar um determinado site na Internet, a requisio passar para o gateway da rede que um roteador com o NAT habilitado e possui um endereo IP pblico 200.199.103.32. Quando a requisio chegar ao roteador, ele ir analisar o cabealho do pacote e criar uma associao com os IPs de origem/destino e as portas de origem/destino, guardando esta informao em uma tabela, ele ir ento realizar uma substituio do endereo ip privado (192.168.10.202) para o endereo IP pblico (200.199.103.32). O pacote ento ser enviado ao servidor web de destino com IP 200.199.103.32, quando o servidor responder a requisio e a mesma chegar ao roteador de rede, ele ir verificar em sua tabela NAT uma associao com o IP de origem/destino e a porta de origem/destino e ento realizar outra substituio, porm, dessa vez ele ira substituir o endereo IP pblico (200.199.103.32) pelo privado (192.168.10.202) e em seguida enviar o pacote para a mquina de origem. Na Figura 5 apresentado um resumo do funcionamento do NAT, os nmeros em vermelho representam o endereo IP de uma rede privada, no rotevel na Internet, e os nmeros em verde representam o endereo IP rotevel na Internet.

Figura 5: Traduo de Endereo IP Fonte: Prprio autor (2010)

38 3.2.2 VPN A alta competitividade do mercado gerou necessidade de comunicao entre empresas, clientes, distribuidores e parceiros. Uma das formas de prover esta conectividade contratar junto operadora de telefonia da regio um link direto com a empresa, porm, esta uma medida extremamente cara. Outra forma de realizar a conectividade entre uma matriz e uma filial, por exemplo, com a utilizao da rede pblica que com o crescimento da banda larga consegue atingir altas velocidades de transmisso. Apesar de ser um meio barato, ele extremamente inseguro e trafegar informaes confidenciais pela Internet, sem a devida segurana, pode resultar em prejuzos imensurveis. (SILVA, 2005) Partindo deste princpio, surgiu o conceito de VPN que podemos definir como sendo uma rede privada funcionando por meio de uma rede pblica (Internet). O seu funcionamento relativamente simples: aps o estabelecimento do tnel, que podemos definir como uma sesso onde duas extremidades (cliente e o servidor VPN) negociam parmetros tais como: endereamento, criptografia, compresso para o estabelecimento dos tneis. Os dados so criptografados e autenticados antes de serem enviados, garantindo assim o sigilo e a autenticidade das informaes. Na Figura 6 apresentada uma imagem que representa a comunicao entre uma Matriz e uma Filial atravs de uma VPN.

Figura 6: VPN Fonte: Prprio autor (2010)

39 De acordo com PINHEIRO (2007), fazem parte da criao de uma VPN os seguintes elementos: Servidor VPN responsvel por aceitar, autenticar e prover as conexes dos clientes VPN; Cliente VPN aquele que solicita ao servidor VPN uma conexo; Tnel o caminho por onde os dados passam pela rede pblica. Corresponde a uma sesso, onde as duas extremidades negociam a configurao dos parmetros (endereamento, criptografia compresso) para o estabelecimento do tnel; Protocolos de tunelamento So os responsveis pelo e

gerenciamento e encapsulamento dos tneis criados na rede pblica; Rede Pblica Efetua as conexes da VPN. Normalmente trata-se de um provedor de Internet. O principal benefcio da VPN, a segurana, provido atravs de uma serie de protocolos que encapsulam e criptografam os dados trafegados entre o cliente e o servidor. De acordo com SILVA (2005) esses so os principais protocolos utilizados em uma VPN: IPSec: O Internet Protocol Security (IPSec) uma extenso do protocolo IP com a capacidade de prover uma maior segurana. Trata-se de um protocolo padro da camada 3 do modelo OSI, que oferece transparncia segura de informaes fim-a-fim atravs de rede IP pblica ou privada; L2TP: O Level 2 Tunneling Protocol (L2TP) o protocolo que atua na camada 2 e faz o tunelamento de PPP utilizando vrios protocolos de rede como IP, ATM, etc, sendo utilizado para prover acesso discado a mltiplos protocolos;

40 PPP: O Point to Point Protocol (PPP) responsvel por verificar as condies da linha telefnica (no caso das conexes dial up), pela validao dos usurios na rede, alm de estabelecer as configuraes dos pacotes; PPTP: O Point to Point Tunneling Protocol (PPTP) uma variao do protocolo PPP, que encapsula os pacotes em um tnel fim-a-fim, porm no oferece os servios de criptografia; SSL: Secure Sockets Layer (SSL) prov a segurana e integridade na transferncia de dados pela Internet. o protocolo de segurana utilizado pelo Openvpn6. 3.2.3 Bastion Hosts De acordo com NAKAMURA e GEUS (2007) Os bastion hosts so os servidores que possuem instalados servios a serem oferecidos para a Internet. Por estarem expostos a rede externa, os bastion hosts necessitam de cuidados especiais de segurana, eles devem executar s os servios necessrios e estarem com os patches de segurana7 sempre atualizados. Os bastion hosts devem ser instalados em uma zona desmilitarizada (DMZ) devido ao nvel de segurana que ela propicia. 3.2.4 Zona Desmilitarizada (DMZ)

De acordo com NAKAMURA e GEUS (2007), A zona desmilitarizada (DMZ) uma rede que fica entre a rede interna, que deve ser protegida, e a rede externa. Este modelo bastante utilizado por organizaes que possuem servidores que necessitam ser acessados tanto pela rede interna, quanto pela rede externa, os chamados Bastion Hosts. A grande vantagem que as DMZs proporcionam que caso algum servidor que possua acesso externo seja invadido, a rede interna continuar segura.
6 7

O OpenVPN um software livre utilizado na criao de tuneis VPN. O patch de segurana consiste em uma atualizao do desenvolvedor para corrigir falhas de segurana.

41 A forma mais simples de criar uma DMZ possuir um firewall com trs ou mais placas de rede na qual uma placa de rede ser conectada a um roteador de acesso a Internet (rede externa), uma placa ser conectada a um switch para acesso da rede interna e a outra placa de rede ser conectada a um switch que pertencer a DMZ. Na Figura 7 apresentado um exemplo de uma DMZ separando a rede interna, dos servidores que precisam ser acessados pela rede externa. Como podemos perceber as quatro mquinas que esto localizadas no lado direito da imagem so chamadas de bastion hosts.

Figura 7: Exemplo de uma DMZ Fonte: Prprio autor (2010)

3.3

Tipos de Firewalls Existem trs tipos principais de firewall: firewall a nvel de pacote, que

funciona nas camadas de rede e de transporte, firewall a nvel de pacotes baseado em estados e o firewall a nvel de aplicao, que funciona nas camadas de aplicao, sesso e transporte. Cada tipo possui vantagens e desvantagens um em relao ao outro, muito comum as empresas utilizarem as duas tecnologias, firewall a nvel de pacote e a nvel

42 de aplicao, em conjunto na sua infra-estrutura de segurana, proporcionando um nvel maior de segurana 3.3.1 Firewall a Nvel de Pacotes O firewall a nvel de pacote analisa as informaes contidas no cabealho dos pacotes, e de acordo com as regras especificadas pelo administrador, determinam se o pacote ser aceito ou descartado. Isso torna o firewall a nvel de pacotes transparente ao usurio e uma outra vantagem que ele ganha em desempenho se comparado ao firewall a nvel de aplicao Como o firewall a nvel de pacotes trabalha apenas nas camadas de rede e transporte do modelo OSI, isso faz com que ele seja mais simples e flexvel de ser implementado. A maioria dos roteadores, por serem gateways das redes, j possuem esta funcionalidade. As decises sobre aceitar ou descartar o pacote so baseadas em: Endereo IP de origem e de destino; Mensagens ICMP; Tipo de porta (TCP ou UDP) de origem e de destino; Flags SYN, SYN-ACK e ACK do handshake TCP.

Em contra partida ao ganho em desempenho e na simplicidade de ser implementado, o firewall a nvel de pacote tambm tem um fator negativo, ele perde um pouco no quesito segurana. Como foi apresentado logo acima, a deciso de aceitar ou descartar os pacotes tomada com base em apenas alguns parmetros do cabealho dos pacotes, ou seja, ele no examina o contedo do pacote. Os pacotes podem ser facilmente falsificados, este tipo de ataque chamado de IP spoofing. Na Figura 8 apresentado o cabealho IP cujos parmetros que so analisados pelo firewall a nvel de pacotes so: Protocolo, Flags, endereo de origem e endereo de destino.

43

Figura 8: Cabealho IP Fonte: NAKAMURA E GEUS (2007)

Na Figura 9 apresentado o cabealho TCP cujos parmetros que so analisados pelo firewall a nvel de pacotes so: Porta de origem, porta de destino, e as flags.

Figura 9: Cabealho TCP Fonte: NAKAMURA E GEUS (2007)

Na Figura 10 apresentado o cabealho UDP cujos parmetros que so analisados pelo firewall a nvel de pacotes so: Porta de origem e porta de destino.

Figura 10: Cabealho UDP Fonte: NAKAMURA E GEUS (2007)

44 Na Figura 11 apresentado uma imagem que representa o funcionamento do firewall a nvel de pacotes. Quando o pacote chega ao firewall so analisados parmetros em seu cabealho e de acordo com a tabela de regras o pacote aceito ou descartado.

Figura 11: Firewall a nvel de Pacotes Fonte: Adaptado de NAKAMURA e GEUS (2007)

No Quadro 2 apresentado um exemplo de regras genricas. A regra um permite que o endereo ip 192.168.10.202 por qualquer porta acesse o endereo ip 200.199.103.34 na porta oitenta, a regra dois bloqueia que o endereo ip 192.168.10.10 por qualquer porta acesse o endereo ip 200.199.103.34 na porta vinte e dois e a regra trs permite que qualquer endereo ip em qualquer porta acesse o endereo ip 200.199.103.36 na porta cinqenta e trs. Regra 1 2 3 End.de Orig: Porta de Orig 192.168.10.202: 192.168.10.10: 0.0.0.0: End.de dest: Porta de dest 200.199.103.34:80 200.199.103.34:22 200.199.103.36:53 Ao Permitir Negar Permitir

Quadro 2: Exemplo de regras genricas Fonte: Adaptado de NAKAMURA e GEUS (2007)

De acordo com NAKAMURA e GEUS (2007), essas so algumas vantagens que o filtro de pacotes possui: Baixo overhead/alto desempenho da rede; barato, simples e flexvel; bom para o gerenciamento de trfego;

45 transparente ao usurio.

De acordo com NAKAMURA e GEUS (2007), essas so algumas desvantagens que o filtro de pacotes possui: difcil de gerenciar em ambientes complexos; vulnervel a ataques de IP spoofing, a menos que isso seja configurado para que isso seja evitado; 3.3.2 No oferece autenticao aos usurios; Dificuldades de filtrar servios que utilizam portas dinmicas.

Firewall a Nvel de Pacotes Baseado em Estados O firewall a nvel de pacotes baseado em estado, tambm chamado de

stateful packet filter, semelhante ao firewall a nvel de pacotes sendo que ele possui uma funcionalidade a mais. A tomada de deciso se o pacote ser aceito ou descartado feita com base em dois elementos: Informaes do cabealho do pacote (assim como o firewall a nvel de pacotes) e uma tabela de estados que guarda o estado das conexes. De acordo com NAKAMURA e GEUS (2007) o uso da tabela de estados melhora o desempenho do sistema, pois apenas os pacotes que iniciam a conexo sero comparados com a tabela de regras, os pacotes restantes so comparados com a tabela de estados. A quantidade de regras na tabela de estados menor e a verificao da regra no feita de forma seqencial, e sim por meio de tabelas hash Na Figura 12 apresentado o funcionamento do firewall de pacotes baseado em estados. Quando o pacote chega, o firewall verifica se j existe uma regra na tabela de estados para ele, caso exista, o firewall aceita o pacote sem consultar a tabela de regras, caso no exista significa que um pacote novo e ento consultada a tabela de regras, caso exista uma regra que aceite o pacote, ele aceito e adicionada uma regra na tabela de estados, os demais pacotes descendentes desta conexo sero verificados apenas pela tabela de estados.

46

Figura 12: Filtro de Pacotes Dinmico Fonte: Adaptado de NAKAMURA e GEUS (2007)

De acordo com NAKAMURA e GEUS (2007), essas so algumas vantagens que o filtro de pacotes possui: Baixo overhead/alto desempenho da rede; Aceita quase todos os tipos de servios; Aberturas apenas temporrias no permetro de rede.

De acordo com NAKAMURA e GEUS (2007), essas so algumas desvantagens que o filtro de pacotes possui: No oferece autenticao do usurio; Permite a conexo direta para hosts internos a partir de redes externas. 3.3.3 Firewall a Nvel de Aplicao Um firewall a nvel de aplicao, tambm conhecido como servidor proxy, proporciona um nvel mais refinado de segurana, ele faz mais do que analisar o cabealhos TCP, UDP e IP, ele toma decises com base em dados da aplicao. Um servidor proxy funciona da seguinte maneira: Um cliente, que neste caso pode ser um navegador web, se conecta ao servidor proxy e realiza uma requisio

47 de um site qualquer, o servidor ento recebe esta requisio e a encaminha para o servidor web de destino. O servidor web ir responder a requisio ao servidor proxy que ir repassar os dados para o cliente que realizou a requisio. De acordo com NAKAMURA e GEUS (2007), essas so algumas vantagens que o firewall a nvel de aplicao possui: Aceita autenticao do usurio; Permite criar logs de trfego e de atividades especficas; Analisa comandos da aplicao no payload dos pacotes de dados

De acordo com NAKAMURA e GEUS (2007), essas so algumas desvantagens que o firewall a nvel de aplicao possui: 3.4 Arquitetura A posio que o firewall ser implantado na topologia de rede ter um impacto significativo no nvel de segurana da rede da empresa. Todo o dado que trafegue de uma rede para outra deve passar obrigatoriamente pelo firewall. Nesta seo sero apresentadas trs possveis arquiteturas para a implantao de um firewall, a saber: Dual-homed Host, Screened Host e Screened Subnet 3.4.1 Dual-Homed A arquitetura dual-homed host apresenta um firewall com duas placas de rede que funciona como um separador, protegendo a rede interna de possveis ataques vindos da rede externa. mais lento do que o filtro de pacotes; No trata pacotes do tipo ICMP; No aceita todos os servios; Requer configurao nos clientes (exceto para Proxy transparente).

48 Apesar de ser um modelo simples de ser implantado, ele no proporciona um bom nvel de segurana caso os servidores necessitem ser acessados pela rede externa, pois neste caso os servidores esto no mesmo segmento de rede da interna. Na Figura 13 apresentada uma arquitetura dual-homed host onde o firewall esta dividindo e protegendo a rede externa da rede interna.

Figura 13: Arquitetura Dual-Homed host Fonte: Adaptado de NAKAMURA e GEUS (2007)

De acordo com CHAPMAN (2000), a arquitetura dual-homed host indicada para: uma rede que possua um trfego pequeno para Internet, O trfego para a internet no seja vital para o negcio da empresa e que a mesma no provenha nenhum servio para a internet. Na opinio do autor deste trabalho, este modelo deve ser adotado apenas para organizaes pequenas, com poucas estaes de trabalho e que os seus servidores no necessitem ser acessados pela rede externa.

49 3.4.2 Screened Host Architecture

A arquitetura screened host formada por um filtro de pacotes e um bastion host. Nesta arquitetura o firewall configurado para permitir acesso a rede interna apenas atravs do bastion host, ou seja, os usurios externos que quiserem acessar os sistemas internos devero se conectar primeiramente com o bastion host. De acordo com NAKAMURA e GEUS (2007) um problema dessa arquitetura que, se o bastion host for comprometido o invasor ter acesso total a rede interna da organizao. Na Figura 14 apresentada uma imagem que representa a arquitetura screened host.

Figura 14: Arquitetura Screened Host Fonte: Adaptado de NAKAMURA e GEUS (2007)

De acordo com CHAPMAN (2000), a arquitetura screened host indicada quando a rede interna recebe poucas conexes vindas da Internet e a mesma for relativamente segura.

50 3.4.3 Screened Subnet Architecture A arquitetura screened subnet proporciona um aumento considervel da segurana ao fazer uso de uma DMZ, um melhoramento da arquitetura screened host. No modelo anterior se o bastion host fosse comprometido o invasor teria total acesso a rede interna, isso no ocorre na arquitetura screened subnet. O bastion host fica em uma DMZ, que uma zona que fica entre a rede interna e a externa, caso ele seja comprometido o filtro interno ainda proteger a rede interna. De acordo com NAKAMURA e GEUS (2007) o filtro externo deve permitir o acesso externo aos servios que esto na DMZ, assim como as requisies dos usurios internos. Permitir o trfego do bastion host para a rede interna pode comprometer a segurana, caso ele seja atacado, sendo assim, o trfego originado do bastion host em direo a rede interna deve ser bloqueado. Na Figura 15 apresentada uma imagem que representa a arquitetura screened subnet.

Figura 15: Arquitetura Screened subnet Fonte: Adaptado de NAKAMURA e GEUS (2007)

51 De acordo com CHAPMAN (2000), a arquitetura screened subnet apropriada para qualquer uso. Na opinio do autor deste trabalho, esta arquitetura pode ser utilizada por qualquer organizao que necessite ter um nvel maior de segurana e que possua servios que necessitem ser disponibilizados tanto para rede interna como para externa. Na prxima seo, sero apresentados alguns modelos de firewalls corporativos, a saber: ISA Server, Cisco ASA, IPtables, Checkpoint. 3.5 Firewalls Corporativos Nesta seo sero apresentados alguns modelos de firewall corporativos, uma anlise mais aprofundada dos modelos citados abaixo foi comprometida porque a maioria das tecnologias apresentadas so proprietrias, portanto as empresas no divulgam detalhes sobre o seu funcionamento, arquitetura, etc. As tecnologias de firewall corporativas que sero abordadas nesta seo so: ISA Server, Cisco ASA, IPtables, Checkpoint FW-1 Algumas dessas empresas divulgaram anlises comparativas de desempenho entre os seus produtos nas quais no so relatadas ao longo deste trabalho, porque, no entendimento deste autor, tratam-se de anlises tendenciosas. 3.5.1 Check Point FW-1

A Check Point Software Technologies Ltd uma das empresas pioneiras no mercado de segurana de redes, criando e patenteando inclusive a tecnologia stateful que utilizada pela maioria dos firewalls a nvel de pacote. O FW-1 foi introduzido ao mercado inicialmente em 1994, ele pode ser alocado em um sistema operacional baseado em Windows ou em Unix, atuando junto ao kernel, com isso, os pacotes s so analisados por outros protocolos se passarem primeiramente pela inspeo do FW-1. (Check Point, 2010) Na Figura 16 apresentado um diagrama que representa o funcionamento do FW-1, possvel perceber que o pacote s processado pelas camadas superiores do modelo OSI se antes for inspecionado e aceito pelo FW-1.

52

Figura 16: Funcionamento do FW-1 Fonte: Baseado em Drew pg 31

De acordo com a Check Point, essas so algumas caractersticas do Firewall-1: (CHECK POINT, 2010) Interface GUI amigvel; Baseado na inspeo stateful; Oferece servios de segurana at a camada de aplicao; Possui um vasto acervo de logs.

Na Figura 17 apresentado um dos grandes diferenciais do FW-1 em relao aos seus concorrentes, o editor de polticas do Check Point FW-1, responsvel por facilitar a vida do administrador de rede na hora de implementar e gerenciar o FW1.

53

Figura 17: Editor de polticas do Check Point Fonte: Prprio Autor (2010)

importante salientar que a empresa Check Point possui vrios produtos para segurana da rede, o Firewall-1 foi o escolhido para ser descrito neste trabalho por se tratar de um dos firewalls corporativos mais conhecidos do mercado. 3.5.2 ISA Server Segundo a Microsoft o Internet Security and Acceleration Server (ISA Server) um gateway de segurana que ajuda a proteger o seu ambiente de TI contra ameaas da Internet, ao mesmo tempo em que fornece a seus usurios um acesso remoto rpido e seguro aos dados e aplicaes (MICROSOFT, 2010) O ISA Server pode ser configurado como um firewall, controlando a entrada e sada dos pacotes atravs de regras rgidas, um servidor de web cache que controla as requisies dos usurios a pginas web e armazena os dados acessados com maior freqncia e pode ainda ser configurado para ser utilizado com firewall e web cache ao mesmo tempo.

54 Segundo a Microsoft, essas so algumas caractersticas do ISA Server (MICROSFOT, 2010) Filtro a nvel de pacotes; Filtro a nvel de aplicao O ISA Server possui os seguintes filtros a nvel de aplicaes: HTTP Redirector Filter, FTP Access Filter, SMTP Filter, SOCKS Filter, RPC Filter, Streaming Media Filter, DNS Intrusion Detection Filter, POP Intrusion Detection Filter; Deteco de Intruso O ISA Server possui integrado um IDS capaz de detectar os ataques mais conhecidos como: DoS, Port Scanning; Acesso pblico atravs de VPN; Possui um assistente de configurao O assistente de configurao facilita ao administrador de rede na hora de criar e gerenciar as regras do ISA Server. Atualmente o ISA Server esta na verso 2006 possuindo dois produtos, o Standard Edition e o Enterprise Edition. Possui como requisitos mnimos para sua instalao um processador Pentium III 733 MHz, Sistema operacional Microsoft Windows Server 2003 com Service Pack 1, 512 megabytes de RAM, 150 megabytes de disco rgido formatado com NTFS8. (MICROSOFT, 2010) No Quadro 3 apresentado um comparativo entre as verses Standard e Enterprise do ISA Server. A verso Standard indicada para pequenas empresas, enquanto a verso Enterprise indicada para empresas de maior porte.

O New Technology File System (NTFS) o sistema de arquivos padro para o Windows NT e seus derivados (2000, XP, Vista, 7,Server, 2003 e 2008)

55 Recurso Standard Edition Escalabilidade Redes Escalabilidade Vertical Escalabilidade Horizontal Caching Ilimitada Redes corporativas Adicionais At 4 CPUs, 2 gigabytes Ilimitada (por sistema (GB) de RAM operacional) At 32 ns via nico servidor Balanceamento de Carga de Rede (NLB) Ilimitado (pelo Cache Armazenamento nico de Array Routing Protocol servidor [CARP]) Disponibilidade Ilimitada No suportado Gerenciamento Diretivas Local Pela importao e exportao manual da diretiva nico console de monitoramento de servidor - Management Pack do Microsoft Operations Manager (MOM) Diretivas de matrizes e de negcios que usam o Modo de Aplicao do Active Directory (ADAM) Diretivas de nveis empresarial e matricial Console de monitoramento de mltiplos servidores Management Packs do MOM Sim (integrado) Enterprise Edition

Suporte ao Balanceamento de Carga de Rede (NLB)

Escritrio Remoto

Monitoramento/alerta

Quadro 3: Comparativo das verses Standard e Enterprise do ISA Server Fonte: Microsoft Corporation, disponvel em http://www.microsoft.com/servidores/isaserver

Na opinio do autor deste trabalho, a principal vantagem de se utilizar o ISA Server est na facilidade e praticidade de sua configurao e por ter agregado a ele vrios mecanismos de segurana, porm, possui como principal desvantagem que por ser uma aplicao instalada em um sistema operacional Windows, ele carrega consigo todas as vulnerabilidades do SO. 3.5.3 Cisco ASA A soluo corporativa de firewall da Cisco Systems o Cisco Adaptive Security Appliances(ASA) 5500 series que foi lanado no mercado em 2005, substituindo o Cisco PIX (firewall e NAT), Cisco IPS 4200 Series (intrusion prevention

56 system(IPS)), Cisco VPN 3000 Series (VPN). O Cisco ASA um Appliance9que pode alm de realizar a funo de firewall pode tambm realizar as funes de IPS e gateway VPN. (CISCO SYSTEMS, 2010) Na Figura 18 apresentado o Cisco ASA serie 5500 em trs modelos distintos, a imagem referente ao menor equipamento representa o modelo 5505 enquanto que a imagem referente ao maior equipamento representa os modelos 5580-20 e 5580-40

Figura 18: Cisco ASA serie 5500 Fonte: Cisco Systems, disponvel em http://www.cisco.com/web/go/asa

De acordo com a Cisco Systems, essas so algumas caractersticas e vantagens do Cisco ASA: (CISCO SYSTEMS, 2010) Maior controle no trfego de dados; Proteo antivirus, anti-spyware, anti-spam, anti-phishing; Proteo em tempo real para acesso web, e-mail e transferncia de arquivo; Filtragem de URL; Filtragem de contedo de e-mail;

Appliance um equipamento (hardware e software) desenvolvido e configurado para executar uma funo especfica

57 Fcil implementao e gesto.

No Quadro 4 apresentado um comparativo entre os modelos 5505, 5510, 5520 do Cisco ASA. Cisco ASA serie 5500 Indicao Taxa de Transferencia Pacotes por Segundo Sesses VPN Memria Memria Flash Portas Integradas Modelo 5505 Pequenas Empresas, Filiais, Enterprise Teleworker 150 Mbps 85,000 10 256 MB 64 MB 8 - 10/100 Modelo 5510 Internet Edge 300 Mbps 190,000 250 256 MB 64 MB 5 - 10/100 +4 10/100/1000 Modelo 5520 Internet Edge 450 Mbps 320,000 750 512 MB 64 MB 1 10/100 4 10/100/1000 +4 10/100/1000

Quadro 4: Comparao entre modelos Cisco ASA 5500 Fonte: Cisco Systems, disponvel em http://www.cisco.com/web/go/asa

3.5.4

IPtables De acordo com NETO (2004), o iptables o firewall do Sistema

Operacional Linux, que foi concebido pelo australiano Paul Rusty Russel em colaborao com Michel Neuling sendo incorporada a verso 2.4 do kernel do Linux em julho de 1999. Ele o sucessor do IPFWADM e IPCHAINS, que so os firewalls respectivamente implementados nos kernels 2.0.e 2.2. Um maior detalhamento sobre o IPtables como seu funcionamento, vantagens, desvantagens, etc, ser apresentado no captulo quatro deste trabalho.

58 4 IPTABLES O conceito de firewall surgiu a partir da necessidade de proteger a rede interna e os servidores de possveis invases originadas tanto da rede interna quanto da externa. Partindo desta exigncia, as empresas tm investido cada vez mais no que diz respeito segurana. O firewall tornou-se um dispositivo bsico de segurana em qualquer corporao e est sendo cada vez mais utilizado pelas empresas. Neste captulo ser apresentado o iptables, firewall do Sistema Operacional Linux, que bastante utilizado pelos administradores de rede. Sero discutidos aspectos de sua estrutura, funcionamento, criao de regras, erros cometidos pelos administradores tanto na criao das regras como em sua implantao e uma anlise crtica sobre as suas vantagens e desvantagens. 4.1 Definio De acordo com NETO (2004), o iptables o firewall do Sistema Operacional Linux, que foi concebido pelo australiano Paul Rusty Russel em colaborao com Michel Neuling sendo incorporada a verso 2.4 do kernel do Linux em julho de 1999. Ele o sucessor do IPFWADM e IPCHAINS, que so os firewalls respectivamente implementados nos kernels 2.0.e 2.2. Ele um front-end que permite aos usurios manipular as tabelas do netfilter. De acordo com NAKAMURA e GEUS (2007), o netfilter um framework para a manipulao de pacotes. Ele agregado ao kernel do Sistema Operacional Linux e responsvel por tratar a entrada e sada dos pacotes. Portanto, o iptables trabalha juntamente com o netfilter na anlise dos pacotes sendo, a soluo, muitas vezes chamada pelos administradores de netfilter/iptables. O iptables um firewall a nvel de pacotes, ou seja, ele toma as suas decises de aceitar ou descartar o pacote com base nas informaes de endereo IP de origem/destino, porta, estado da conexo, entre outros parmetros encontrados nos cabealhos dos pacotes. Uma das principais novidades do iptables que foi incorporado a ele a tecnologia statefull, que foi originalmente concebida pela empresa Check Point para o

59 seu firewall comercial. Esta tecnologia permite que o firewall guarde o estado da conexo de um pacote em sua tabela de estados, caso um novo pacote referente a uma conexo j estabelecida chegue para ser analisado, o mesmo no ser analisado pelas regras e sim pela tabela de estados da conexo. De acordo com NETO (2004) o iptables considerado um dos firewalls mais seguros existentes na atualidade, isso tudo de forma free, isso mesmo, de graa com open source e tudo. A seguir sero apresentadas algumas caractersticas do iptables, de acordo com SILVA (2007): Especificao de portas/endereo de origem/destino; Suporte a protocolos TCP/UDP/ICMP; Suporte a interfaces de origem/destino de pacotes; Tratamento de trfego dividido em chains10, proporcionando uma melhor organizao; Possui mecanismos internos para rejeitar automaticamente pacotes duvidosos ou mal formados; Suporte ao roteamento de pacotes; Suporte a especificao de tipo de servio para priorizar o trfego de determinados tipos de pacotes; Permite enviar alertas personalizados ao syslog11 sobre o trfego aceito/bloqueado; Redirecionamento de endereos IPs e portas; Suporte a modificao de endereos IPs.

10

11

So os locais onde as regras ficam armazenadas, ser mais bem explicado nas prximas sees um padro criado pela IETF para a transmisso de mensagens de log em redes IP. No Linux o servio utilizado o syslogd

60 4.2 Pr-Requisitos e Instalao O iptables uma aplicao extremamente leve e, portanto, no necessita de um hardware robusto, podendo ser executado em uma mquina com processador 386 com 4 MB de memria RAM. O seu requisito mais importante que o Sistema Operacional Linux que ele esteja instalado tenha o kernel 2.4.x instalado, e que tenha sido compilado com suporte ao iptables. (NETO,2004) A maioria das distribuies Linux j vem com o iptables instalado por padro, porm, caso o mesmo no venha pr-instalado, possvel baixar o pacote principal atravs do site do desenvolvedor http://www.netfilter.org/ ou caso a distribuio possua um gerenciador de pacotes possvel realizar a instalao por ele. Caso a instalao seja atravs do gerenciador de pacotes, basta digitar o comando aptget install iptables para distribuies baseadas em Debian ou yum install iptables para distribuies baseadas em Red Hat. Com a instalao do pacote principal alguns comandos so criados na base do Sistema Operacional, eles sero listados logo a seguir: iptables Comando principal para trabalhar com protocolos ipv4; ip6tables - Comando principal para trabalhar com protocolos ipv6; iptables-save - Salva as regras atuais inseridas na sesso ativa em um arquivo especificado pelo administrador; iptables-restore - Restaura regras salvas pelo utilitrio iptables-save.

Apesar da existncia de comandos para manipulao das regras, muitos administradores preferem criar as suas regras na forma de um script, fazendo uso apenas dos comandos iptables e ip6tables, feito ento uma chamada ao script contendo as regras do firewall no arquivo /etc/rc.local, que responsvel pela execuo de arquivos aps a inicializao do sistema. 4.3 Estrutura A estrutura do iptables formada basicamente por regras, tabelas e chains. Tal organizao permite um melhor entendimento sobre o seu funcionamento, as tabelas

61 possuem chains que por sua vez armazenam as regras. Cada um desses itens ser descrito nessa seo. As regras so basicamente os comandos criados pelos administradores de rede para aceitar ou descartar o pacote com base nas informaes de endereo IP de origem/destino, porta de destino/origem, estado da conexo, etc. As regras, quando executadas, rodam no kernel do sistema operacional. Portanto, caso a mquina venha a ser reiniciada, o sistema operacional no salvar as regras, sendo necessrio execut-las novamente pelo o administrador quando a mquina for inicializada novamente. As chains so os locais onde as regras ficam armazenadas. Existem dois tipos delas: as que so padro do sistema como a INPUT, OUTPUT, FORWARD, PREROUTING e POSTROUTING, e as criadas pelo prprio administrador de rede, no tendo um nmero limite e exigindo apenas que o nome possua no mximo trinta e um caracteres sem espaos em branco. As tabelas armazenam as chains e as regras criadas pelos usurios. O iptables possui trs tabelas, cada uma delas responsvel por um determinado tipo de trfego. A seguir sero descritas as tabelas filter, nat e mangle e suas chains de acordo com SILVA (2007). A tabela filter possui uma grande importncia no quesito de segurana, pois ela trata as aes de entrada, sada e passagem de pacotes, ela que ir definir se o pacote ser aceito ou descartado. Possui por padro trs chains: INPUT Responsvel por inspecionar os dados com destino ao prprio firewall. Ela utilizada quando o administrador deseja permitir ou bloquear pacotes com destino ao prprio firewall; OUTPUT Responsvel por inspecionar dados que so originados no prprio firewall. Ela utilizada quando o administrador deseja permitir ou bloquear pacotes com sada do prprio firewall; FORWARD Responsvel por inspecionar os dados que passam pelo firewall, no qual o destino uma mquina qualquer que no seja ele prprio. Ela utilizada quando o administrador deseja bloquear ou permitir o trfego com destino ou origem a outra

62 mquina na rede e que este dado passa obrigatoriamente pelo firewall; A tabela NAT incorpora as funes do Network Address Translation (NAT) atuando na parte de redirecionamento de pacotes e substituio de endereos ips. Possui por padro trs chains: PREROUTING utilizada para realizar alteraes nos pacotes antes do roteamento. Esta chain usada quando o administrador deseja fazer o redirecionamento de ips e portas; POSTROUTING - utilizada para realizar alteraes nos pacotes depois do roteamento. Esta chain usada quando o administrador deseja fazer alteraes no endereo ip, por exemplo, a troca de um endereo privado por um ip pblico; OUTPUT Trata pacotes emitidos pelo prprio localhost;

A tabela mangle utilizada para alteraes especiais nos pacotes, como por exemplo, a prioridade de trfego proporcionando assim uma Qualidade de Servio (QoS). Esta tabela tambm necessria quando o administrador deseja implantar o servio de roteamento avanado em sua rede. Possui por padro quatro chains: INPUT Consultada quando os pacotes precisam ser modificados antes de serem enviados para o chain INPUT da tabela filter. PREROUTING utilizada para realizar alteraes nos pacotes antes do roteamento; OUTPUT Trata pacotes emitidos pelo prprio localhost; FORWARD Responsvel por tratar os dados que passam pela mquina; POSTROUTING - utilizada para realizar alteraes nos pacotes depois do roteamento;

63 Na Figura 19 apresentado um diagrama criado com base na estrutura do iptables, os desenhos em amarelo representam as tabelas e os verdes representam as suas respectivas chains.

Figura 19: Estrutura do Iptables Fonte: Prprio Autor (2010)

4.4

Funcionamento do IPtables Como foi apresentado na seo anterior, o firewall formado por tabelas

que possuem chains e que por sua vez armazenam as regras. Os pacotes ao chegarem ao firewall no so analisados por esses itens ao mesmo tempo, existe uma ordem especfica na qual ele submetido. O administrador de rede precisa estar atento ao funcionamento do iptables, pois ir influenciar na criao das regras. A chain PREROUTING, por exemplo, altera alguns atributos do pacote como o IP de destino, porta de destino, etc. Se chegar um pacote ao firewall e existir uma regra na PREROUTING para o mesmo, ele ser alterado e caso o administrador de rede necessite liber-lo com a chain FORWARD, ele precisa saber que na ordem de prioridade o pacote passa primeiro pela chain PREROUTING, ou seja, a regra na FORWARD dever ser criada de acordo com os atributos alterados na chain PREROUTING. Segundo NAKAMURA e GEUS (2007), cada chain (INPUT, OUTPUT e FORWARD) possui seu prprio conjunto de regras de filtragem. Quando o pacote atinge uma das cadeias examinado pelas regras dessa cadeia. Se a cadeia tiver, por exemplo, uma regra que define que o pacote deve ser descartado, ele ser descartado nesse ponto. importante salientar tambm que quando um pacote est de acordo com alguma das regras criadas no iptables, ele no ser mais inspecionado por outras.

64 Na Figura 20 apresentado um diagrama com a ordem de checagem das regras em relao s tabelas e chains a que elas pertencem, desde que o pacote chega ao firewall at a sua anlise e uma tomada de deciso. Em seguida o seu funcionamento ser mais bem explicado.

Figura 20: Funcionamento do iptables Fonte: Prprio autor (2010)

importante salientar que o pacote no ir necessariamente passar por todas as fases desse diagrama, por exemplo, se o pacote for originado do prprio firewall, a ordem de inspeo ser iniciada pela tabela mangle, chain output. Quando o pacote estiver de acordo com a regra criada, ele no ser mais checado por outras regras.

65 Primeiramente quando o pacote chega a placa de rede, ele ser analisado pelo kernel do Sistema Operacional. A primeira checagem a que o pacote ser submetido a tabela mangle, que responsvel por realizar alteraes especiais nos pacotes e priorizao de trfego, e a primeira chain ser a PREROUTING, utilizada para realizar alteraes nos pacotes antes do roteamento. Em seguida o pacote ser analisado pela mesma chain, porm da tabela Nat, que responsvel pelo redirecionamento de pacotes e substituio de endereos ips. Em seguida acontece a deciso de roteamento na qual o pacote ser analisado de acordo com os dados do seu cabealho, se o destino for o prprio firewall ou outra mquina da rede, tal deciso de grande relevncia visto que a ordem de checagem das tabelas e chains sero diferentes para cada caso. Caso o destino seja o prprio firewall ou originado dele mesmo, todas as checagens a partir desse ponto sero realizadas respectivamente pelas chains INPUT e OUTPUT nas tabelas nat, mangle e filter. A primeira checagem que o pacote ser submetido nesse ponto a tabela mangle e a chain a INPUT, que consultada quando os pacotes com destino a prpria mquina precisam ser modificados, logo em seguida os dados sero submetidos tabela filter, que trata as aes de bloquear ou aceitar a entrada, sada e passagem do trfego, nesse caso como a chain a INPUT, ser tratado o trfego de entrada. Posteriormente a checagem ser realizada pela chain OUTPUT, responsvel por tratar os pacotes emitidos pelo prprio localhost com destino a outras redes, nas tabelas mangle, nat e filter respectivamente. Caso o destino seja outra mquina da rede, a primeira checagem que o pacote ser submetido nesse ponto a tabela mangle e a chain a FORWARD, que responsvel por tratar os dados que passam pela mquina e em seguida, o pacote ser inspecionado pela mesma chain, porm, da tabela filter. Em ambos os casos, seja em dados com destino a prpria mquina ou para outra, a ultima tabela a que o pacote ser submetido a Nat e a chain a POSTROUTING, que responsvel por realizar alteraes no endereo ip dos pacotes depois do roteamento. importante salientar que se o kernel no tiver o forwarding habilitado ou se no souber para onde encaminhar o pacote o mesmo ser descartado. Para habilitar o

66 forwarding o administrador dever executar o comando echo "1" >

/proc/sys/net/ipv4/ip_forward no prompt de comando. 4.5 Criando as Regras O processo de criao das regras a etapa mais importante na construo de um firewall, pois, so elas que iro determinar qual a ao que um pacote ir tomar ao ser analisado. A sintaxe do iptables simples e bem sugestiva. So passados parmetros que informam a tabela e chain que se deseja manipular, endereos de origem/destino, portas de origem/destino, protocolos, etc. Para criar uma regra, basta o administrador digitar no prompt de comando como usurio root12 a seguinte sintaxe: iptables t <tabela> <opo> <chain> <parmetro(s)> -j <alvo> A partir do momento que o administrador digita o comando acima, passando as opes e parmetros, a regra j comea a valer. O que mais recomendado e que muitos administradores fazem criar um script contendo todas as regras do firewall e em seguida esse arquivo colocado para ser executado durante a inicializao do Sistema Operacional. Caso o administrador necessite adicionar uma nova regra o alterar uma j existente, deve realizar a alterao no script e ento execut-lo novamente. Caso alguma regra esteja com erro de sintaxe ser apresentado um erro quando a mesma for executada. O administrador de rede deve ter uma ateno especial com a ordem que as regras sero criadas. O iptables interpreta as regras na ordem em que elas so criadas. Caso exista uma regra para um determinado pacote e o mesmo seja verificado por ela, o pacote no ser mais inspecionado por outras regras. 4.5.1 Opes e Parmetros do Iptables

Nesta subseo sero apresentadas as principais opes e parmetros para a criao das regras do iptables. Para um melhor entendimento as opes e parmetros foram divididos em trs quadros que sero apresentados a seguir.
12

Root o super usurio do Sistema Operacional Linux, ele tem permisso de fazer tudo no sistema.

67 No Quadro 5 so apresentadas as opes para manipulao de chains e tabelas. Para manipulao das chains as opes so definidas com letras maisculas e para manipulao da tabela utilizado letra minscula. Caso o administrador no especifique a tabela que deseja manipular, o iptables por padro ir utilizar a tabela filter. TIPO OPO -A -I -L -D -R DESCRIO Adiciona uma nova regra Insere uma regra uma linha especfica Lista as regras de uma tabela especfica Excluir uma determina regra Substitui uma regra Cria uma nova chain Renomeia uma chain Limpa as regras de uma tabela especfica Exclui uma chain criada pelo usurio Zera os contadores de uma tabela especifica Altera a poltica padro Especifica uma tabela

Manipulando Chains e Tabelas

-N -E -F -X -Z -P -t

Quadro 5: Manipulando Chains e Tabelas Fonte: Prprio Autor (2010)

No Quadro 6 so apresentados os parmetros para especificao de protocolos, portas de origem/destino, interfaces de entrada/sada e endereos ips de origem/destino. Caso o administrador necessite especificar as portas de origem e destino, ele tem que obrigatoriamente especificar o tipo de protocolo.

68 TIPO OPO --sport -p --dport -i -o -s -d DESCRIO Especifica porta de origem (Ex: 80, 22, 20, etc.) Especifica o tipo do protocolo (Ex: tcp, udp, icmp) Especifica porta de destino (Ex: 80, 22, 20, etc.) Especifica a interface de entrada (Ex: eth0, eth1, etc.) Especifica a interface de sada (Ex: eth0, eth1, etc.) Especifica o endereo ip de origem Especifica o endereo ip de destino

Protocolo e Portas Interfaces Endereos IPs

Quadro 6: Especificando portas, interfaces, endereos ips e protocolo Fonte: Prprio Autor (2010)

No Quadro 7 so apresentadas as opes de alvo do pacote, ou seja, qual o destino que o dado dever ter se estiver de acordo com a regra criada. Para especificar o alvo utilizada a opo j ao final da regra. A diferena entre as opes DROP e REJECT que a REJECT retorna uma mensagem de erro ao barrar o dado enquanto a DROP simplesmente descarta o pacote. ALVO ACCEPT DROP REJECT LOG SNAT DNAT MASQUERADE REDIRECT TOS DESCRIO Aceita a entrada/passagem do pacote Descarta a entrada/passagem do pacote Rejeita o pacote Corresponde a criar um log de acesso Altera o endereo de origem Altera o endereo de destino Realiza o mascaramento ip Realiza o redirecionamento de portas Prioriza a entrada/sada de pacotes

Quadro 7: Especificando o Alvo Fonte: Prprio Autor (2010)

4.5.2

Sintaxe e Exemplos

Como podemos perceber na subseo anterior, as opes do iptables so bem sugestivas, por exemplo, a opo para indicar o endereo de origem (-s) vem da palavra source (que significa origem em ingls). Quanto mais for detalhada a regra, ou seja, quanto mais opes e parmetros a regra tiver, maior ser o seu nvel de segurana, pois mais parmetros devem estar de acordo para que os pacotes sejam aceitos ou descartados.

69 Esta subseo tem objetivo de explicar detalhadamente a sintaxe de algumas regras criadas com base no iptables, para tal, sero apresentados alguns exemplos de regras e os mesmos sero explicados passo a passo. Ex.1 #iptables t filter A FORWARD s 192.168.10.10 d 10.83.1.10 p tcp --dport 22 j ACCEPT No exemplo 1 o administrador esta criando uma regra na tabela filter (-t), chain FORWARD (-A), especificando o endereo de origem (-s) 192.168.10.10, de destino (-d) 10.83.1.10, com o protocolo (-p) tcp, com destino a porta (--dport) 22 e com alvo (-j) ACCEPT. Esta regra libera pacotes que iro passar pelo firewall caso os parmetros do mesmo estejam de acordo com os da regra. Ex.2 #iptables t filter -A INPUT -p tcp --dport 22 -j LOG --log-prefix "FIREWALL:SSH" No exemplo 2 o administrador esta criando uma regra na tabela filter (-t), chain INPUT (-A), especificando o protocolo tcp (-p), como destino a porta 22 (--dport 22) e com alvo (-j) LOG. O parmetro --log-prefix que no foi mostrado na seo anterior serve para salvar os logs com um nome expecfico, no caso desse exemplo o nome "FIREWALL:SSH". Esta regra ir realizar o log das tentativas de acesso a porta 22 que utilizarem o protocolo tcp. Ex.3 #iptables -t nat -A POSTROUTING s 192.168.10.202 o eth0 j SNAT --to 200.199.103.34 No exemplo 3 o administrador esta criando uma regra na tabela nat (-t), chain POSTROUTING (-A), especificando o endereo de origem (-s) 192.168.10.202, interface de sada (-o) eth0 e alvo (-j) SNAT para o endereo 200.199.103.34. Esta regra realiza a substituio para o endereo ip 200.199.103.34 caso o endereo de origem seja o 192.168.10.202 e a interface de sada seja a eth0. Ex.4 Alterar a poltica padro: o iptables t filter P INPUT DROP o iptables t filter P OUTPUT DROP o iptables t filter P FORWARD DROP

70 No exemplo 4 o administrador esta alterando a poltica padro (-P), da tabela filter (-t), das chains INPUT, OUTPUT e FORWARD para DROP. Por padro o iptables vem com a sua poltica padro para ACCEPT, ou seja, aceita todos os pacotes e o administrador tem que ir bloqueando o trfego assim como ele desejar, porm, quando se que atingir um nvel mais alto de segurana aconselhvel que a poltica padro seja alterada para DROP e o administrador ir liberando o trfego de acordo com a sua necessidade. Ex.5 iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 d

200.199.103.35 -j DNAT --to-destination 172.10.10.35:80 No exemplo 5 o administrador est criando uma regra na tabela nat (-t), chain PREROUTING (-A), interface de entrada (-i) eth0, protocolo (-p) tcp, com destino a porta (--dport) 80, endereo de destino (-d) 200.199.103.35 e o alvo (-j) DNAT para o destino 172.10.10.35:80. Esta regra realiza o redirecionamento das requisies com destino ao ip 200.199.103.35 e porta 80 para o endereo 172.10.10.35 porta 80. A seguir sero apresentadas mais algumas regras do iptables. Mais exemplos podero ser encontrados no apndice I deste trabalho.

O exemplo a seguir descarta os pacotes com destino a localhost e porta 80: o #iptables t filter A INPUT p tcp --dport 80 j DROP O exemplo a seguir altera a prioridade aos pacotes que sairem pela interface eth0 e tenham a porta de destino 22: o #iptables t mangle A OUTPUT o eth0 p tcp --dport 22 j TOS --settos 16 O exemplo a seguir lista as regras de todas as chains da tabela filter: o #iptables t filter L O exemplo a seguir libera o trfego com origem da rede 192.168.10.0 com destino ao ip 172.30.30.10 e porta 80 o #iptables t filter A FORWARD s 192.168.10.0/24 d 172.30.30.10 p tcp --dport 80 j ACCEPT O exemplo a seguir realiza uma limpeza nas regras do firewall o #iptables t filter F o #iptables t nat F

71 4.6 Erros na Implantao de um Firewall A Internet um meio bastante utilizado para realizar pesquisas e at busca de documentaes dos mais variados assuntos, e com relao a firewall isto no diferente. Torna-se uma tarefa extremamente fcil encontrar documentao e at tutoriais que ensinam passo a passo a criao de um firewall, muitos administradores erram por utilizar um script de firewall j pronto baixado da Internet na empresa em que trabalham mesmo no entendendo o funcionamento e a sintaxe das regras do iptables. Cada cenrio necessita de regras de firewall especficas, e o posicionamento dele na rede tambm muda de organizao para organizao. Portanto, muito difcil, para no dizer praticamente impossvel, que um exemplo de um firewall achado na Internet se adeque por inteiro as necessidades da rede da empresa que o administrador trabalha. Esta seo tem o objetivo de apresentar erros comumente cometidos pelos administradores de rede quando esto criando um firewall tanto em relao topologia como em relao criao de regras do iptables. 4.6.1 Erros de Posicionamento do Firewall

O firewall deve ser posicionado na rede de maneira tal que todo trfego que no for de uma rede do domnio da empresa passe obrigatoriamente por ele. Para que todo trfego passe por ele necessrio que ele seja posicionado de uma maneira tal que fique entre a rede externa, rede DMZ e a rede interna. Muitos administradores no atentam para isso e posicionam o firewall de maneira errnea, muitas vezes protegendo apenas a rede interna, de possveis ataques vindos da rede externa. A seguir sero apresentados trs exemplos muito comuns de erros de posicionamento do firewall (representado por uma parede de tijolos) em relao topologia da rede, e em seguida o que seria um modelo correto para sua implantao. Na Figura 21 apresentado um exemplo de um posicionamento errado do firewall em relao topologia da rede. Neste exemplo pode-se perceber que a rede interna esta protegida, porm o trfego vindo da Internet com destino aos servidores no

72 esta passando pelo firewall sendo um erro grave de segurana e comprometendo a integridade dos servidores. Neste exemplo os servidores esto completamente desprotegidos e sujeitos aos mais variados tipos de ataques.

Figura 21: Posicionamento Errado Ex.1 Fonte: Prprio Autor (2010)

Na Figura 22 apresentado outro exemplo de um posicionamento errado do firewall em relao topologia da rede. Neste exemplo pode-se perceber que os servidores esto localizados na rede interna caracterizando uma falha grave de segurana, pois os servidores que necessitam ser acessados tanto pela rede interna quanto pela rede externa devem ficar localizados em uma rede a parte chamada de DMZ. Tal procedimento se faz necessrio para que conexo iniciadas pelos servidores em direo a rede interna sejam barradas.

73

Figura 22: Posicionamento Errado Ex.2 Fonte: Prprio Autor (2010)

Na Figura 23 apresentado um erro de posicionamento com relao instalao de um roteador para conectividade com a rede de outras empresas, comum quando a empresa possui comunicao direta atravs de link Frame-Relay, MPLS13, ou at VPNs com parceiros e o mesmo instalado diretamente no switch sem passar pelo firewall. Todo e qualquer trfego que no pertence diretamente a rede interna deve passar obrigatoriamente pelo firewall, neste caso especfico esse link deveria esta em outra DMZ.

13

Frame Relay e MPLS so tecnologias de transmisso de rede de longa distancia.

74

Figura 23: Posicionamento Errado Ex.3 Fonte: Prprio Autor (2010)

Na Figura 24 apresentada, de acordo com o entendimento do autor, uma topologia correta para todos os erros descritos acima. Pode-se perceber que o firewall est posicionado de maneira tal na topologia da rede que ele esta atuando como um divisor, controlando o trfego passante para cada uma das redes (DMZ I, DMZ II, Rede Interna, e a Internet).

Figura 24: Posicionamento Correto Fonte: Prprio Autor (2010)

75 4.6.2 Erros na Criao das Regras Por no conhecer a sintaxe ou no conhecer bem o funcionamento do iptables, muitos administradores cometem erros primrios quando esto elaborando as regras do firewall. Erros de sintaxe so facilmente percebidos, pois o prprio sistema informa que a regra esta errada quando ela executada. Erros na lgica da criao das regras so mais difceis de resolver, pois sintaticamente ela esta correta, no apresenta erro ao ser executada, porm no esta de acordo com o que administrador necessita. Para resolver erros na lgica o administrador precisa fazer uma depurao completa das regras, verificando regra a regra at encontrar o erro. Para um melhor entendimento primeiramente ser apresentada a regra errada e em vermelho, em seguida ser apresentando a sua forma correta e na cor verde. Um erro clssico cometido por muitos administradores com relao poltica padro. O iptables vem com a poltica padro configurada para ACCEPT, ou seja, por padro ele aceita todas as conexes, nesse caso o administrador de rede deve criar as regras de firewall bloqueando a conexes que so indesejadas. Muitas vezes os administradores querem um alto nvel de segurana, mas se esquecem de criar a regra que configura a poltica padro para DROP, ou seja, descartar todas as conexes, com a poltica padro configurada para DROP, o administrador deve criar as regras de forma a liberar as conexes que desejar. Neste caso especifico no ser apresentada a forma errada, pois o erro esta na verdade em no adicionar estas regras.
# iptables -t filter -P INPUT DROP # iptables -t filter -P OUTPUT DROP # iptables -t filter -P FORWARD DROP

O iptables analisa as suas regras de forma estruturada, ou seja, medida que um pacote chega, ele analisado e se estiver de acordo com uma regra o mesmo no mais analisado por outras. No exemplo apresentado a seguir, o administrador criou uma regra que bloqueia os pacotes que chegarem com destino a porta 22, em seguida ele cria uma regra que libera pacotes com destino a porta 22 caso tenham sido originados do endereo ip 192.168.10.10, o resultado esperado pelo administrador no ser atingido,

76 pois, a regra que bloqueia todos os pacotes com destino a porta 22 foi declarada primeiro do que a regra que libera se vindo do ip 192.168.10.10.
# iptables -t filter A INPUT p tcp --dport 22 j DROP # iptables t filter A INPUT s 192.168.10.10 p tcp -dport 22 j ACCEPT

Para que apenas o endereo ip 192.168.10.10 tenha acesso ao SSH, a regra deve ser declarada antes da que faz um bloqueio geral da porta 22, assim como consta no exemplo apresentado abaixo.
# iptables t filter A INPUT s 192.168.10.10 p tcp -dport 22 j ACCEPT # iptables -t filter A INPUT p tcp --dport 22 j DROP

Um erro grave cometido por muitos administradores de rede quando eles desejam deixar o host no anonimato e bloqueiam todo o trfego referente ao protocolo ICMP. O protocolo ICMP utilizado para troca de mensagens na rede, ele de grande importncia, pois possui vrios parmetros que auxiliam na sade da rede como o source-quench que indica que o host esta sobrecarregado. A regra apresentada abaixo bloqueia todas as mensagens ICMP quando o correto seria bloquear apenas as do tipo echo-request
# iptables -t filter A INPUT p icmp j DROP

Para que apenas o echo-request seja bloqueado necessrio o uso da tag -icmp-type, que serve especificar o parmetro icmp que se deseja manipular. A seguir segue a regra correta para bloquear os pings especificando o tipo echo-request.
# iptables -t filter A INPUT p icmp -icmp-type echo-request j DROP

Todos os comandos apresentados na cor vermelha esto sintaticamente corretos, ou seja, no apresentaro erros ao serem executados, porm, no tero os resultados esperados pelo administrador de rede. Estes foram apenas alguns exemplos de erros muito comuns cometidos na elaborao das regras do iptables.

77 4.7 Vantagens X Desvantagens Assim como qualquer outro software, o iptables possui vantagens e desvantagens. Muitas empresas optam por utiliz-lo como firewall apenas pelo simples fato de ser um software gratuito, porm, no atentam para o fato de que a sua implementao e implantao possuem um certo nvel de complexidade exigindo um administrador capacitado e com experincia. De acordo com a viso deste autor, o iptables um firewall confivel e bastante flexvel, com vrios recursos de grande importncia para uma infra-estrutura de segurana que atende desde um usurio comum at uma grande corporao. A seguir sero apresentadas algumas vantagens e desvantagens que o iptables possui: Dentre as suas vantagens, podemos citar: Firewall Statefull: Essa caracterstica permite que o iptables analise o estado do pacote, caso o mesmo j tenha sido liberado no ser mais checado em suas regras ganhando assim em desempenho; Firewall a Nvel de kernel: Por ter a sua anlise de pacotes realizada a nvel de kernel, o iptables ganha em desempenho ,diferentemente de outras tecnologias que funcionam como um sub-sistema. Firewall Considerado Hbrido: Agrega a si tanto as funes de filtragem de pacotes quanto de Nat; Software Sob Licena GPL: um firewall gratuito e licenciado sob a Licena Pblica Geral (GPL)14; Dentre as suas desvantagens, podemos citar: Sua Implementao No Trivial: A criao das regras e sua implantao no so triviais exigindo inclusive certa experincia por
14

A licena GPL a designao da licena para software livre no mbito do projeto GNU da Free Software Foundation (FSF).

78 parte do administrador para projetos grandes que necessitem de uma grande quantidade de regras; No Realiza Checagem Dinmica na Camada de aplicao: Diferentemente dos firewalls comerciais como o Checkpoint e o ISA Server, o iptables no faz checagem dinmica na camada de aplicao; Logs: Apesar de possuir um sistema de logs em tempo real os mesmo so de difcil compreenso; Depurao so Complicada: Erros na de sintaxe serem so facilmente

identificados, pois o software acusa o erro, porem, erros na lgica extremamente complicados identificados, principalmente em scripts com muitas regras; Suporte: Diferentemente das verses pagas, o iptables no possui um suporte especializado sendo necessrio o administrador postar suas dvidas em fruns e que muitas vezes recebem respostas incorretas e no confiveis.

79 5 ESTUDO DE CASO HIPOTTICO Neste captulo ser apresentado um estudo de caso hipottico para contemplar toda a fundamentao terica vista nos captulos anteriores. O referido estudo de grande importncia para apresentar um caso prtico do uso do iptables na implementao de um firewall e proporcionar aos leitores deste trabalho um entendimento melhor sobre as funcionalidades e a importncia do iptables na infraestrutura de segurana de uma organizao. Esse estudo foi criado com base na experincia do autor deste trabalho na administrao da rede de uma grande empresa num perodo de dois anos. O cenrio aqui apresentado reflete bem o da empresa, porm, em propores bem menores. Como tema de estudo ser utilizado uma empresa fictcia, que necessita de uma estrutura para proteger a sua rede interna e seus servidores. A estrutura desta empresa ser mais bem detalhada adiante neste trabalho, sendo um cenrio muito comum encontrado nas corporaes e fornecer os subsdios necessrios para apresentar o entendimento da criao de um firewall. O que motivou o uso do iptables para este estudo de caso que esta soluo proporciona todas as funcionalidades necessrias para atender os requisitos da empresa proposta, tais como: traduo de endereos ips atravs do NAT, redirecionamento de requisies, gerao de logs, bloqueio ou liberao do trfego etc. Alm disso, ele no um software pago. 5.1 Caractersticas da Rede Nesta seo sero discutidas as caractersticas fsicas e lgicas da rede do cenrio proposto, proporcionando assim um melhor entendimento de como a rede da empresa esta estruturada. So com base nessas informaes e nas necessidades da empresa que sero criadas as regras de firewall. A seguir, sero apresentadas as caractersticas fsicas da rede adotada, sero discutidos aspectos de quais os servidores que compem a rede, meio de acesso a Internet, e a composio da rede interna. importante salientar que o modelo citado abaixo no pertence a nenhuma empresa sendo que todas as informaes descritas, tanto de sua estrutura fsica como

80 lgica, so fictcias. possvel afirmar com base na experincia do autor que este um modelo bastante encontrado nas organizaes. 5.1.1 Caractersticas Fsicas da Rede

A rede do cenrio proposto ser composta por um total de trinta mquinas terminais com o Sistema Operacional Windows XP e mais uma impressora de rede, quatro mquinas servidoras e o acesso a Internet ser atravs de Network Address Translation (NAT). Para proporcionar a interligao das mquinas e servidores, a empresa far uso de dois switches, um para a rede interna e outro para os servidores. O acesso a Internet ser proporcionado por um roteador. Os servidores escolhidos para este estudo de caso iro disponibilizar os servios de Email, DNS, Banco de dados, Aplicao/Web e sero divididos em quatro mquinas. Estes servios so encontrados com freqncia na rede das corporaes e necessitam de regras rgidas de segurana, por serem alvos constantes de tentativas de invaso. importante salientar que os Sistemas Operacionais e as solues citadas abaixo so apenas para ilustrar o nosso estudo de caso, no ser levado em conta aspectos de desempenho, confiabilidade e facilidade de configurao. A seguir sero listadas as caractersticas dos servidores. Servidor de E-mail: Possui o Sistema Operacional Linux Fedora 10 e como soluo de e-mail o Postfix (Agente de Transferncia de Email), Dovecot (Servidor de IMAP e POP3) e o Spamassasin(Filtro de Spam; Servidor de DNS: Possui o Sistema Operacional Linux Fedora 10 e soluo de DNS o bind (Servidor para o protocolo DNS); Servidor de Banco de Dados: Possui o Sistema Operacional Linux Fedora 10 e como Sistema Gerenciador de Banco de Dados (SGBD) o Oracle;

81 Servidor Web e de Aplicao: Possui o Sistema Operacional Linux Fedora 10, servidor web Apache e o servidor web Java Tomcat; Como pode-se perceber, os servidores do cenrio proposto utilizam o Sistema Operacional Linux, no entanto, a escolha do Sistema Operacional como a escolha das solues so indiferentes para a criao das regras do firewall, pois os servios disponibilizados por eles por padro fazem o uso das mesmas portas, por exemplo, caso a soluo de e-mail seja Windows Server 2008 juntamente com o Exchange Server, a regra de firewall criada ser a mesma da soluo apresentada neste trabalho. O acesso a Internet ser realizado atravs de um link dedicado de dois Mega Bits por Segundo (Mbps) contratado junto operadora de telefonia. Esta velocidade mais que suficiente para suprir as necessidades da rede proposta. A seguir sero apresentadas as caractersticas lgicas da rede do estudo de caso proposto. 5.1.2 Caractersticas Lgicas da Rede A rede interna ser composta por trinta terminais e uma impressora de rede, portanto, sero necessrios trinta e um endereos ips e mais um para gateway da rede. Considerando um possvel crescimento da empresa e conseqentemente na rede interna, se faz necessrio a escolha de uma faixa de endereos ips que permita tal crescimento. A classe C com mscara de sub-rede 255.255.255.0 possui um total de 256 endereos ips e 254 que podem ser utilizados para hosts, sendo, portanto, mais que suficiente para atender as necessidades da rede interna. Ela possuir endereo de rede 192.168.1.0 podendo ser utilizados os endereos de 192.168.1.1 a 192.168.1.254 para os hosts. A empresa necessita que os servidores sejam acessados tanto pela rede interna quanto pela externa (Internet). Para o acesso externo necessrio que eles possuam endereos ips vlidos na Internet. No nosso estudo utilizaremos a rede 200.199.103.32 com mscara de sub-rede 255.255.255.240. Esta rede possui um total de quatorze endereos ips, que podem ser utilizados para hosts sendo um nmero mais que satisfatrio, mesmo considerando uma possvel expanso da empresa.

82 No Quadro 8 sero apresentados os endereos ips utilizados na rede interna e os endereos ips utilizados para acesso externo aos servidores do estudo de caso proposto. Cada servio esta rodando em um servidor especfico, portanto cada servidor ter o seu endereo ip especfico para o acesso externo
TIPO Rede Externa HOST Firewall Serv. E-mail Serv. Banco de Dados Serv. Web/Aplicao Serv. Dns Firewall Terminal1 Terminal2 ... IP 200.199.103.34 200.199.103.35 200.199.103.36 200.199.103.37 200.199.103.38 192.168.1.1 192.168.1.2 192.168.1.3 ... MASCARA 255.255.255.240 255.255.255.240 255.255.255.240 255.255.255.240 255.255.255.240 255.255.255.0 255.255.255.0 255.255.255.0 ...

Rede Interna

Quadro 8: Endereos IPs da Rede Interna e Externa Fonte: Prprio Autor (2010)

5.2

Levantamento de Requisitos Para a implantao de um firewall, imprescindvel que o administrador

conhea toda a estrutura da rede, juntamente com os servios por ela disponibilizados. Com base nesse conhecimento, feito o levantamento de requisitos com no qual regras do firewall sero criadas. O levantamento de requisitos uma prtica cada vez menos realizada e muitas vezes esquecida pelos administradores de rede. Que, assim como muitos profissionais de T.I optam por comear o projeto pela codificao e se esquecem da importncia de realizar o levantamento das propriedades do sistema, quais as funcionalidades que ele ter, e quais os objetivos devem ser alcanados aps a sua implantao. Com base no levantamento realizado sobre as caractersticas fsicas e lgicas da rede possvel perceber que se trata de uma rede de pequeno a mdio porte e que disponibiliza servios que so alvos constantes de ataques. Aps uma anlise da rede e dos servidores da empresa os seguintes requisitos foram levantados:

83 Os servidores e a rede interna necessitam estar protegidos das formas mais conhecidas de ataques; Os servios disponibilizados pelos servidores (DNS,

WEB/Aplicao, Banco de Dados e E-mail) necessitam ser acessados tanto pela rede interna quanto pela rede externa; Permitir o acesso da rede interna aos servios de Web, Ftp e E-mail da Internet; Criar uma poltica segura para a administrao dos servidores; Todo trfego com destino/origem a rede interna, externa e servidores deve passar obrigatoriamente pelo firewall; Tratar o trfego do Internet Control Message Protocol (ICMP) vindo tanto da rede externa quanto da rede interna; Os pacotes que no estiverem em conformidade com as regras do firewall devero ser descartados; Aps a criao das regras e implantao do firewall espera-se que todos os requisitos apresentados acima sejam atendidos e a no conformidade com isso significa que houve algum erro no projeto ou na implantao. A seguir ser apresentada uma soluo criada com base nos requisitos levantados. 5.3 Soluo Proposta Com base nos requisitos apresentados na seo anterior ser apresentada uma possvel soluo para todos os problemas encontrados no levantamento de requisitos. importante informar que esta no uma soluo nica e nem uma soluo definitiva. A configurao de um firewall no termina no momento em que ele implantado e testado, um servio que nunca acaba, pois novos tipos de ataque vo surgindo assim como novas necessidades. A seguir so apresentadas algumas solues propostas que sero mais discutidas posteriormente para o estudo de caso em questo:

84 Bloquear pacotes do tipo Internet Control Message Protocol (ICMP) vindos da Internet e limitar os vindos da rede interna; Posicionar os servidores em uma demilitarized zone (DMZ); Ativar a gerao de logs; Liberar o acesso ao Secure Shell (SSH) dos servidores apenas se originado de uma nica mquina da rede interna, tal medida proporciona uma maior segurana visto que apenas uma nica mquina da rede interna ter acesso remoto aos servidores; Liberar acesso as portas 80, 110, 443, 53, 25, 1520, 1521 e 8080 dos servidores de pacotes originados tanto da Internet quanto da rede interna. A liberao destas portas faz referencia aos servios disponibilizados por cada servidor e se faz necessria para que os mesmo possam ser acessados; Liberar o acesso as portas 80, 25, 110, 443, 21 de pacotes originados da rede interna com destino a Internet. Este procedimento se faz necessrio para que as mquinas da rede interna tenham acesso aos servios HTTP, E-mail e FTP da Internet; Habilitar o Network Address Translation (NAT) no firewall para o acesso a Internet tanto dos servidores quanto da rede interna; Alterar a poltica padro das chains INPUT e FORWARD para DROP para proporcionar um nvel maior de segurana;

Na soluo proposta ser apresentando inicialmente como o firewall deve ser posicionado com relao a topologia da rede, este um quesito de grande importncia pois todo trfego vindo de outras redes deve passar obrigatoriamente por ele.

85 5.3.1 Posicionamento do Firewall na Rede Como j foi mencionado anteriormente, servidores necessitam ser acessados tanto pela rede interna e externa, sendo assim, eles necessitam ficar em uma DMZ para prover uma melhor segurana. As conexes de rede no podem ser iniciadas nos servidores com destino a rede interna, pois, isso constitui uma falha grave de segurana, tendo em vista que um possvel invasor tem acesso externo aos servidores. Com o uso da DMZ o administrador consegue este tipo de segurana, bloqueando as conexes iniciadas nos servidores com destino a rede interna e liberando apenas as conexes iniciadas pela rede interna e externa com destino aos servidores. Para o uso da DMZ se faz necessrio que o firewall possua trs interfaces de rede. A interface eth0 ser ligada no roteador responsvel por prover a conexo com a Internet, a interface eth1 ser ligada ao switch da DMZ e a interface eth2 ser ligada ao switch da rede interna. Na Figura 25 apresentada a topologia da rede proposta, podemos perceber que o firewall ser o responsvel por separar a rede interna, a rede DMZ e a rede externa, obrigando assim que todo o trfego passante para cada uma das trs redes passe obrigatoriamente por ele.

86

Figura 25: Topologia da Rede Fonte: Prprio Autor (2010)

Os endereos IPs dos servidores que pertencero a DMZ sero de uma rede privada, porm, de uma rede diferente da dos terminais, tal medida se faz necessria para haver uma separao da rede dos servidores da rede interna. O firewall ser responsvel por filtrar e encaminhar as requisies da rede interna com destino aos servidores. Os endereos ips vlidos na Internet sero adicionados como endereos virtuais a interface eth0 do firewall. A chain PREROUTING da tabela Nat ser responsvel por fazer o redirecionamento das requisies recebidas pelo endereo ip adicionado a interface virtual do firewall para o servidor de destino. No Quadro 9 so apresentados os endereos ips destinados para os servidores que pertencero a rede DMZ, para o exemplo desta rede, ser adotado o endereamento IP de 172.10.10.0 com mscara de sub-rede 255.255.255.0, esta faixa possui 254 endereos que podem ser utilizados para hosts e, portanto um nmero mais que suficiente.

87
TIPO Rede DMZ HOST Firewall Serv. E-mail Serv. Banco de Dados Serv. Web/Aplicao Serv. Dns IP 172.10.10.1 172.10.10.35 172.10.10.36 172.10.10.37 172.10.10.38 MASCARA 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

Quadro 9: Endereos ips da rede DMZ Fonte: Prprio Autor (2010)

5.3.2

Criao das Regras do Iptables

A criao das regras torna-se um fator primordial na criao do firewall, pois so elas que permitiro que o trfego seja encaminhado ou no de uma rede para outra, que o pacote seja aceito ou descartado. A sua complexidade depende do tamanho da rede da empresa, da quantidade de ativos que necessitam ser protegidos e do nvel de segurana que deseja ser implantada. Antes de dar inicio a criao das regras se faz necessrio que o administrador conhea a topologia da rede em questo e juntamente com os requisitos levantados analisar o que necessita ser protegido e o nvel de proteo que a rede e os servidores sero submetidos. Para administradores experientes e que desejam um nvel mais alto de segurana aconselhvel que crie as regras com base na poltica padro do iptables DROP, ou seja, bloqueia todo o trfego e libera apenas o que o administrador desejar. Para administradores sem experincia e que desejam um nvel mais baixo de segurana aconselhvel que as regras sejam criadas com base na poltica padro do iptables ACCEPT, ou seja, todo trfego liberado e o administrador vai bloquear o que ele desejar. A seguir, sero apresentadas algumas regras que foram criadas com o objetivo de proteger a rede do estudo de caso proposto. O script completo do firewall poder ser encontrado no Apndice I deste trabalho. A poltica padro do iptables vem por default configurado para ACCEPT em todas as chains, como queremos o nvel mximo de segurana a poltica padro ser alterada para DROP nas chains da tabela filter:

88
# iptables -t filter -P INPUT DROP # iptables -t filter -P OUTPUT DROP # iptables -t filter -P FORWARD DROP

O iptables por default no cria arquivos de logs, necessrio criar regras para que as tentativas de acessos indevidos sejam logados de forma a criar um relatrio de tentativas de invaso. As regras apresentadas abaixo criaro logs na tentativa de acesso ao firewall pela porta 22, que referente ao servio SSH, e caso algum servidor da DMZ tente iniciar uma conexo com destino a rede interna.
# iptables -I INPUT -p tcp --dport 22 -j LOG --log-prefix "FIREWALL:SSH_FALSE"
# iptables -I INPUT -p tcp --dport $SSH_PORT -j LOG --log-prefix "FIREWALL:SSH" # iptables -I FORWARD -s 172.10.10.35 d 192.168.1.0/24 m state state NEW -j LOG --log-prefix "EMAIL" # iptables -I FORWARD -s 172.10.10.36 d 192.168.1.0/24 m state state NEW -j LOG --log-prefix "BANCO" # iptables -I FORWARD -s 172.10.10.37 d 192.168.1.0/24 m state state NEW -j LOG --log-prefix "APLICACAO:WEB" # iptables -I FORWARD -s 172.10.10.38 d 192.168.1.0/24 m state state NEW -j LOG --log-prefix "DNS"

Muitos administradores de rede preferem deixar o gateway da sua rede no anonimato, para isso eles bloqueiam as respostas das requisies de pacotes do tipo Internet Control Message Protocol (ICMP). Como a nossa poltica padro j esta definida como DROP, iremos apenas liberar os pacotes vindos da rede interna com restrio de responder dois pacotes por segundo. Esta regra tambm protege contra o ataque conhecido como Ping da Morte.
# iptables -A INPUT -p icmp --icmp-type echo-request -i eth3 -m limit --limit 2/s -j ACCEPT

O firewall ser configurado na forma de statefull, ou seja, o iptables ir analisar o estado de conexo dos pacotes, caso a conexo j tenha sido estabelecida ou relatada, ele aceitar o pacote e no ir verificar a sua tabela de regras. As regras a

89 seguir iro aceitar as conexes que estejam estabelecidas ou relatadas com destino ao firewall ou que passaro por ele.
# iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Como foi definido no levantamento de requisitos, o acesso a Internet seria atravs de NAT e seria controlado pelo firewall. Para que isso seja possvel se faz necessrio utilizar regras das chains FORWARD e POSTROUTING das tabelas filter e Nat respectivamente. A regra da chain FORWARD libera o trfego que ir passar pelo firewall com origem da rede interna e com destino as portas 80, 443, 21, 110, 25, em seguida, a regra da chain POSTROUTING habilita o Nat para a rede interna.
# iptables -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dport 80,443,21,110,25 -o eth0 -j ACCEPT # iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth0 -j MASQUERADE

Para que os servidores que esto localizados na rede DMZ possam ser acessados tanto pela rede externa quanto pela rede interna se faz necessrio o uso das chains PREROUTING e POSTROUTING da tabela Nat e da chain FORWARD da tabela filter. As regras abaixo so referentes apenas ao servidor DNS, para os outros servidores basta alterar os endereos ips e as portas. A regra da chain FORWARD ir liberar o trfego que passar pelo firewall com destino ao ip 172.10.10.38 e porta 53 tanto de pacotes vindos da rede interna quanto da rede externa, a regra da chain PREROUTING ser responsvel por receber as requisies ao ip pblico 200.199.103.38 e repassar para o ip 172.10.10.38 e por fim a chain POSTROUTING ser responsvel em substituir o ip 172.10.10.38 pelo 200.199.103.38 para a resposta das requisies vindas da rede externa.
# iptables -A FORWARD -d 172.10.10.38 -p udp --dport 53 -j ACCEPT
# iptables -A PREROUTING -t nat -i eth0 -p udp -d 200.199.103.38 -dport 53 -j DNAT --to-destination 172.10.10.38:53 # iptables -A POSTROUTING -t nat -o eth0 -s 172.10.10.38 -j SNAT --tosource 200.199.103.38

90 Estes foram apenas alguns exemplos de regras que constam no firewall do nosso estudo de caso. O script completo com todas as regras utilizadas pode ser conferido no Apndice I deste trabalho. 5.4 Consideraes Finais Sobre o Estudo de Caso Hipottico Em nosso estudo, a empresa adotada possui uma estrutura e necessidades comumente encontradas em empresas reais e aps uma anlise realizada na topologia de sua rede e em seus requisitos, foi apresentada uma soluo com o objetivo de aumentar o nvel de segurana da rede interna e seus servidores. A posio de como o firewall foi instalado em relao topologia da rede proporciona um alto nvel de segurana visto que ele ir controlar o trfego passante para cada uma das redes. Outro fator importe os servidores pertencerem a uma DMZ proporcionando uma maior segurana para eles e a rede interna. As regras de firewall foram criadas para proporcionar nveis satisfatrios de segurana, mas sem comprometer a usabilidade tanto da Internet como dos servidores. No adianta a rede ter um nvel alto de segurana se os funcionrios, clientes, e parceiros no conseguem fazer uso dos seus recursos. Pode-se garantir com base neste estudo de caso que se as tcnicas e procedimentos apresentados neste trabalho forem seguidos, haver um aumento considervel no nvel de segurana da rede interna e servidores. importante salientar que a proposta apresentada neste trabalho no nica, podendo haver outras com critrios de segurana at bem mais rgidos, porm, com base no conhecimento e na experincia deste autor, tanto as regras como a forma de como o firewall esta instalado na rede proporciona um nvel de segurana bastante satisfatrio.

91 6 Concluso

O firewall de fato um dos principais mecanismos de segurana da rede de uma organizao, porm, os seus responsveis no podem achar que esto completamente seguros apenas por ter um firewall atualizado e bem configurado, outras ferramentas e tcnicas de segurana como: IDS, IPS, Poltica de Segurana, etc. Devem ser implantadas a fim de dificultar a ao dos invasores. Na fundamentao terica, foram apresentados de forma direta e clara conceitos importantes da segurana da informao, os principais tipos de ataques e vulnerabilidades, assim como as principais tcnicas e ferramentas de segurana. O funcionamento, tipos e arquitetura do firewall tambm foram itens explicados com clareza e que deram um suporte para o entendimento da importncia do firewall na infra-estrutura de segurana de qualquer organizao. Os firewalls corporativos apresentados neste trabalho proporcionam ao administrador de rede um nmero maior de opes quanto escolha de qual tecnologia utilizar na infra-estrutura da empresa. Infelizmente, por falta de uma documentao confivel, fica impossvel de se determinar qual a melhor tecnologia das que foram apresentadas neste trabalho, portanto a escolha de qual tecnologia utilizar na empresa deve ser com base na necessidade e na disponibilidade de recursos visto que cada um dos firewalls corporativos apresentados neste trabalho possui vantagens e desvantagens uns em relao aos outros. Por meio deste estudo foi possvel concluir com base nas caractersticas e vantagens apresentadas que o iptables um firewall a nvel de pacotes eficiente e estvel, podendo ser utilizado tanto por empresas de pequeno quanto de grande porte, porm, no se deve delegar a ele toda a segurana da rede de uma organizao. O erros apresentados na implementao das regras e em sua implantao em relao topologia de rede do suporte ao administrador de rede ou analista de segurana a criar um ambiente mais seguro. Por fim, com o estudo de caso hipottico apresentado no captulo cinco deste trabalho, foi mostrado uma forma correta de implementao e implantao do

92 firewall iptables de acordo com a infra-estrutura da empresa fictcia possua e com as necessidades que ela apresentava. Proponho para trabalhos futuros a implantao de um firewall com os servios de VPN e IDS trabalhando em conjunto, ambos iro proporcionar um aumento considervel no permetro de segurana de rede da empresa.

93 7 BIBLIOGRAFIA

PINHEIRO, Jos Mauricio. Projeto de Gateway VPN. Disponvel em: http://www.projetoderedes.com.br/tutoriais/tutorial_projeto_de_gateway_vpn_01.php. Acesso em: 30 outubro 2009. KUROSE, James F. Redes de Computadores e a Internet: Uma abordagem top-down. 3 ed. So Paulo: Pearson Addison Wesley, 2006. NAKAMURA, Emilio; GEUS, Paulo. Segurana de Redes: em ambientes cooperativos. 1 Ed. So Paulo: Novatec, 2007. NETO, Urubatan. Dominando Linux Firewall Iptables. 1 Ed. Rio de Janeiro: Cincia Moderna, 2004. SILVA, Lino. Virtual Private Network. 2 Ed. So Paulo: Novatec, 2005 TANEMBAUM, Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Elsevier, 2003. SMOLA, Marcos. Gesto da Segurana da Informao: Uma viso executiva. 1 Ed. Rio de Janeiro: Campus, 2003. ZWICKY, Elizabeth; COOPER, Simon; CHAPMAN, Brent. Building Internet Firewalls. ORelly 2 Edio, 2000 SIMONIS, Drew; PINCOCK, Corey; KLIGERMAN, Daniel;MAXWELL, Doug; AMON, Cherie; KEELE, Allen. Check Point Next Generation Security. Syngress, 2002 RUSSELL, Paul Rusty. Linux 2.4 Packet Filtering HOWTO. Disponvel em: http://www.netfilter.org/documentation/HOWTO/pt/packet-filtering HOWTO.html#toc1. Acesso em: 20 Nov 2009. TCNICAS, Associao Brasileira de Normas. Tecnologia da Informao . Tcnicas de segurana . Cdigo de prtica para a gesto da segurana da Informao (ABNT NBR ISO/IEC 17799). Rio de Janeiro 2005. 2 Ed. TCNICAS, Associao Brasileira de Normas. Tecnologia da informao Tcnicas de segurana Sistemas de gesto da segurana da informao Requisitos (ABNT NBR ISO/IEC 27001). Rio de Janeiro 2006. 2 Ed. MICROSOFT. ISA Server. Disponvel em: <http://www.microsoft.com/brasil/servidores/isaserver/default.mspx>. Acesso em: 20 de Fev de 2010

94

CHECK POINT. Check Point Firewall-1. Disponvel <http://www.checkpoint.com/products/firewall-1> Acesso em: 15 de Fev de 2010

em:

CISCO SYSTEMS. Cisco ASA. Disponvel em: <http://www.cisco.com/web/go/asa>. Acesso em: 18 de Fev de 2010

95

APNDICES

96 8 Apndice I: Script do Firewall

#!/bin/bash ##SCRIPT: MODELO DE SCRIPT DE FIREWALL ##AUTOR: VAMBERTO DE FREITAS ROCHA JUNIOR

##DEFINICAO DE CONSTANTES I_EXT="eth0" I_DMZ="eth1" I_INT="eth2" SSH_PORT="10100" ##CARREGAMENTO DE MODULOS modprobe ip_nat_ftp ##ATIVANDO O ROTEAMENTO echo "1" > /proc/sys/net/ipv4/ip_forward ##LIMPANDO AS REGRAS iptables -F iptables -X iptables -Z iptables -t nat -F iptables -t nat -X iptables -t nat -z ##POLITICA PADRAO iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT DROP iptables -t filter -P FORWARD DROP ##FIREWALL STATEFULL iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

###################################################################### # Segurana # ###################################################################### ##LOGANDO ACESSOS iptables -I INPUT -p tcp --dport 22 -j LOG --log-prefix "FIREWALL:SSH_FALSE" iptables -I INPUT -p tcp --dport $SSH_PORT -j LOG --log-prefix "FIREWALL:SSH" iptables -I FORWARD -s 172.10.10.35 d 192.168.1.0/24 m state NEW -j LOG --log-prefix "EMAIL" iptables -I FORWARD -s 172.10.10.36 d 192.168.1.0/24 m state NEW -j LOG --log-prefix "BANCO" iptables -I FORWARD -s 172.10.10.37 d 192.168.1.0/24 m state NEW -j LOG --log-prefix "APLICACAO:WEB" iptables -I FORWARD -s 172.10.10.38 d 192.168.1.0/24 m state NEW -j LOG --log-prefix "DNS" ##LOOPBACK iptables -I INPUT -i lo -j ACCEPT

-state -state -state -state

97

##LIBERANDO iptables -A --limit 2/s iptables A

PING INPUT -p icmp --icmp-type echo-request -i $I_INT -m limit -j ACCEPT INPUT p icmp -icmp-type ! echo-request i $I_EXT

###################################################################### # TABELA FILTER # ###################################################################### # ##CHAIN INPUT # iptables -A INPUT -s 192.168.1.10 -d 192.168.1.1 -p tcp --dport $SSH_PORT --syn -j ACCEPT

# ##CHAIN OUTPUT #

# ##CHAIN FORWARD # iptables -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dport 80,443,21,110,25 -o $I_EXT -j ACCEPT ##DMZ iptables -A FORWARD -d 172.10.10.35 80,443,25,110 --syn -j ACCEPT iptables -A FORWARD -d 172.10.10.36 1520,1521 --syn -j ACCEPT iptables -A FORWARD -d 172.10.10.37 80,8080,443 --syn -j ACCEPT iptables -A FORWARD -d 172.10.10.38

-p tcp -m multiport --dport -p tcp -m multiport --dport -p tcp -m multiport --dport -p udp --dport 53 -j ACCEPT

###################################################################### # TABELA NAT # ###################################################################### # ##CHAIN PREROUTING # ##DMZ iptables -A PREROUTING -t nat -i $I_EXT -p tcp -d 200.199.103.35 dport 80 -j DNAT --to-destination 172.10.10.35:80 iptables -A PREROUTING -t nat -i $I_EXT -p tcp -d 200.199.103.35 dport 443 -j DNAT --to-destination 172.10.10.35:443 iptables -A PREROUTING -t nat -i $I_EXT -p tcp -d 200.199.103.35 dport 25 -j DNAT --to-destination 172.10.10.35:25 iptables -A PREROUTING -t nat -i $I_EXT -p tcp -d 200.199.103.35 dport 110 -j DNAT --to-destination 172.10.10.35:110 iptables -A PREROUTING -t nat -i $I_EXT -p tcp -d 200.199.103.36 dport 1520 -j DNAT --to-destination 172.10.10.36:1520 iptables -A PREROUTING -t nat -i $I_EXT -p tcp -d 200.199.103.36 dport 1521 -j DNAT --to-destination 172.10.10.36:1521 iptables -A PREROUTING -t nat -i $I_EXT -p tcp -d 200.199.103.37 dport 80 -j DNAT --to-destination 172.10.10.37:80

--------

98
iptables -A PREROUTING -t nat -i $I_EXT -p tcp -d 200.199.103.37 -dport 443 -j DNAT --to-destination 172.10.10.37:443 iptables -A PREROUTING -t nat -i $I_EXT -p tcp -d 200.199.103.37 -dport 8080 -j DNAT --to-destination 172.10.10.37:8080 iptables -A PREROUTING -t nat -i $I_EXT -p udp -d 200.199.103.38 -dport 53 -j DNAT --to-destination 172.10.10.38:53 # ##CHAIN POSTROUTING # iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o $I_EXT -j MASQUERADE

##DMZ iptables -A POSTROUTING source 200.199.103.35 iptables -A POSTROUTING source 200.199.103.36 iptables -A POSTROUTING source 200.199.103.37 iptables -A POSTROUTING source 200.199.103.38

-t nat -o $I_EXT -s 172.10.10.35 -j SNAT --to-t nat -o $I_EXT -s 172.10.10.36 -j SNAT --to-t nat -o $I_EXT -s 172.10.10.37 -j SNAT --to-t nat -o $I_EXT -s 172.10.10.38 -j SNAT --to-