[Firewall]Componentes de um firewall

Texto desenvolvido por Edgard Lemos

O Firewall é um dispositivo formado por um ou mais equipamentos, incluindo software e/ou hardware, projetado para proteger uma rede dos intrusos que possam estar em qualquer lugar da Internet.

O Componentes MÍNIMOS de um firewall são:

– Filtro de Pacotes

– NAT

– Proxy

Os componentes adicionais são:

– VPN (Virtual Private Network)

– Autenticação Criptografada

O objetivo principal do firewall é a segurança das fronteiras do sistema a ser protegido. É bom lembrar que o firewall não deve ser a única providência de segurança, mas é apenas uma ferramenta que deve ter seu papel dentro da política de segurança de uma empresa.

Do ponto de vista técnico, para se estabelecer um firewall é necessário: (a) configurar o sistema operacional ao recurso mínimo, retirando todos os serviços e arquivos desnecessários. (b) O firewall deve ser uma máquina separada e todos os serviços devem ser separados em máquinas diferentes (HTTP, FTP, Telnet, etc.). (c) Também deve-se prover um único ponto de entrada e saída de dados. Quanto menos portas mais fácil fica o controle. (d) Eliminar banners de logon.

2 Como escolher um firewall

Na hora de escolher uma solução de firewall deve-se levar em conta os

seguintes aspectos:

– Segurança. Não confiar demais no sistema operacional. Alguns softwares de firewall específicos, porém, corrigem falhas comuns de configuração do sistema operacional. Mas é sempre uma boa idéia o administrador de rede configurar ele mesmo o sistema operacional de modo a deixá-lo mais robusto.

– Interface. Alguns firewalls exigem muito estudo de configurações e usam telas de console para configuração, o que pode exigir o conhecimento de comandos complicados. Outros firewalls apresentam interfaces gráficas intuitivas para a configuração.

– Integração. Alguns firewalls não permitem que se faça configuração a partir de um ponto centralizado, exigindo que o administrador os configure um a um fisicamente.

– Recursos de Segurança. Muitos firewalls oferecem serviços adicionais como VPN e autenticação criptografada.

– Recursos de Serviços. Alguns firewalls incluem serviços como FTP, Telnet,HTTP. Porém, além de esses serviços serem um tanto desatualizados, eles podem representar oportunidades para falhas de segurança.

3 Problemas que os firewalls não resolvem.

(a) Engenharia Social.

Um usuário de uma das filiais da empresa pede um arquivo em CAD de um novo projeto ultra-secreto da empresa. O usuário é conhecido. O funcionário ingenuamente anexa o arquivo na mensagem de aperta o botão “Responder”.

O funcionário não verificou se o endereço de email para resposta é o mesmo de quem enviou. Isso porque a maioria das pessoas não verifica o campo do endereço de resposta. Essa campo pode ser facilmente modificado por uma interceptação da mensagem. Ou pior ainda, o remetente pode ser falsificado.

(b) Modems instalados em estações de trabalho

Muitas empresas usam modems conectados aos seus micros porque muitos micros

vêm de fábrica com modems.

O usuário conecta o modem a sua própria linha telefônica e usa para burlar a segurança para fazer bate-papo, baixar arquivos, acessar páginas proibidas pela empresa, etc.

4 Medidas adicionais para colaborar com a segurança do firewall

(a) Reduza o número de pontos de conexão com a Internet. Algumas empresas só permitem uma conexão por filial. Outras centralizam toda a comunicação através da matriz.

(b) Desabilite a porta COM na BIOS dos computadores para evitar conexão com modem e estabeleça uma senha de acesso à bios.

(c) Desabilite o compartilhamento de arquivos entre estações de trabalho. Incentive os usuários a guardarem seus arquivos nos servidores da rede.

(d) Jamais terceirize a segurança de sua empresa no provedor.

– Você não conhece os funcionários do provedor.

– A motivação do provedor pode não coincidir com a sua. Especialmente em disputas judiciais.

– Não há controle das responsabilidades.

5 Esquemas de firewalls

5.1 Um único firewall

(a) Rede Interna —-Firewall—-Servidor Públicos—-Roteador—–Internet

Desvantagens, servidores públicos ficam à mercê dos invasores.

(b) Rede Interna—–Servidor Públicos—-Firewall—–Internet

Pacotes podem ser falsificados para dentro da rede interna.

5.2 Zona desmilitarizada

Rede Interna—Firewall—Servidores Públicos—-Firewall——Internet

O primeiro firewall tem de ter uma segurança maior que o segundo

5.3 Rede desconectada

Rede Interna Servidores Públicos—-Firewall—-Internet

6 Filtro de Pacotes

Tipos:

-Padrão

-Inspeção de Estado

6.1 Padrão

Baseia-se na informação contida nos cabeçalhos dos pacotes TCP/IP. Os tipos de informações mais comuns usadas por estes filtros de pacotes são:

– Tipo de protocolo

– Endereço IP

– Porta TCP/UDP

– Número do fragmento

– Informação de roteamento de origem

6.1.1 Filtragem de Protocolo

UDP

TCP

ICMP

IGMP

6.1.2 Filtragem de endereços IP

ACLs (deny, allow)

Endereços IPs forjados

6.1.3 Filtragem de Portas TCP/UDP

Através do número da porta TCP/UDP é possível restringir o acesso a certos serviços tais como

Daytime

Echo

Quote

FTP

telnet

SMTP

DNS

HTTP

Gopher

POP

SNMP

NNTP

Sessão NetBIOS

IMAP

nfs

Whois

RSH

Exemplo: você pode negar a conexão a todas as portas TCP/UDP exceto porta TCP 80 (HTTP), TCP 25 (correio), TCP 21 (FTP).

Protocolos para os quais se deve atentar:

Telnet – Esta porta aberta permite que os hackers abram um terminal de linha de comando com acesso amplo a sua máquina.

Sessão NetBIOS – Esta porta aberta em servidors Windows ou SAMBA permite que os hackers se conectem em seus servidores como se estivessem localmente.

POP – Você deve implementar uma conexão VPN para clientes remotos que precisem acessar sua contas de correio eletrônico, já que o POP aceita senhas em texto puro, permitindo que hackers interceptem a senha pela rede.

NFS – Esta porta aberta em servidors Unix permite que os hackers se conectem em seus servidores como se estivessem localmente.

X Window – Com um software cliente X o servidor estará vulnerável a ataques, já que hacker terá controle remoto total do ambiente gráfico.

Bloqueie também quaisquer portas que dão acesso a softwares como pcANYWHERE e VNC.

6.1.3.1 Roteamento de Origem (Source Routing)

Usado originalmente para funções de teste e solução de problemas de rede, é usado agora por hackers para colocar qualquer endereço no campo de origem para especificar seu próprio computador.

Há dois tipos de roteamento de origem:

Roteamento de origem amplo: indica um ou mais máquinas pelas quais o pacote deva passar, mas não dá a lista completa;

Roteamento de origem estrito: indica a rota exata por onde o pacote deve voltar para sua origem.

Nenhum protocolo usa roteamento de origem, portanto desabilite esta função no roteador.

6.1.4 Fragmentação

Nos primórdios da Internet, algumas redes não davam conta de transmitir pacotes grandes. Estes tinham que ser fragmentados em pacotes menores. Os fragmentos eram numerados para que o pacote original pudesse ser remontado. O problema é que o número da porta do serviço TCP ou UDP só vai no fragmento zero.

Para burlar a segurança do filtro de portas o hacker envia pacotes com fragmentos numerados a partir de 1.

6.1.5 Problemas com filtros de pacotes padrão.

Eles não verificam o que vai na parte de dados do pacote (carga útil). Eles não verificam o estado da conexão.

A carga útil pode conter vírus, cavalos de tróia ou informações com objetivo de travar os serviços.

Os serviços de retorno de uma conexão externa são realizados acima da porta 1024. Portanto muitos filtros de pacote simplesmente deixam passar todo o tráfego acima da porta 1024.

Eles não analisam se uma porta acima de 1024 tem a ver com o retorno de uma solicitação de outra conexão em outra porta.

Nada impede que um cavalo-de-tróia abra uma porta de retorno acima de 1024 sem que o filtro de pacote padrão perceba que ela não foi gerada por uma solicitação de comunicação válida.

6.1.6 Filtragem de pacotes por sistema operacional.

Muitos SOs modernos, UNIX ou NT, incluem filtragem de pacotes em sua pilha TCP/IP. Mas caso o computador esteja sendo usado como servidor, tal filtragem deve ser usada como reforço para uma filtragem de pacotes na fronteira da rede, feita por um outro dispositivo tal como um roteador.

6.2 Filtros de Pacote de Inspeção de Estado

Os filtros de pacote com inspeção de estado gravam em sua memória as características do estabelecimento da conexão e podem, portanto, decidir se uma porta de retorno pode ou não ser aberta.

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: