Sistemas de Firewall e defesa de perímetros – Parte 02 30 de agosto de 2007
FirewallSeguraça
0 Comment

Quando você conecta sua rede corporativa à Internet, garantir a segurança contra intrusos passa a ser de importância vital para o negócio da sua empresa. O método mais efetivo é utilizar um sistema de firewall entre sua rede local e a Internet. O firewall certifica que toda comunicação entre a rede corporativa e a Internet esteja em confomidade com a política de segurança definida pela corporação.

Para efetivamente prover uma segurança real, o firewall necessita identificar e controlar o fluxo de informações que passa através do mesmo, para que a partir de uma tomada de decisão possa permitir, rejeitar,encriptar ou logar as tentativas de comunicação. Uma solução de sistema de firewall necessita obter, armazenar, recuperar e manipular informações derivadas de todas as camadas de comunicação e de outras aplicações.

Firewalls são responsáveis pela tarefa de cuidar para que o tráfego não desejado ou não autorizado com origem em uma rede “promíscua”, como é o caso da Internet, atinja o segmento de rede privado (LAN ou WAN) de uma empresa ou instituição. Do mesmo modo, a tecnologia de firewalls permite que usuários de uma rede local acessem serviços Internet e que o tráfego específico de serviços Internet estratégicos, como SMTP e DNS, entrem neste mesmo segmento privado, que encontra-se protegido e isolado do mundo exterior.

Alguns firewalls são meros roteadores, filtrando pacotes originários da Internet baseados na informação contida em cada datagrama, através da análise de informações como endereço de origem, endereço de destino e protocolo utilizado para a comunicação. Algumas corporações utilizam roteadores como dispositivo único de defesa de perímetro para aplicação de política de segurança corporativa. Esta política é traduzida através da aplicação de access lists para controle de tráfego em ações de permissão ou descarte de pacotes e logging de eventos.

Uma boa política de segurança é vital durante o procedimento de configuração de um sistema de firewall. A política necessita definir quais ações de proteção e procedimentos de gerência de riscos necessitam ser tomadas para proteção do patrimônio da corporação.

Alguns firewalls utilizam o conceito de proxy servers, também chamado de bastion hosts. O bastion host previne acesso direto à Internet, executando filtros de acessos não autorizados, aplicando restrições de tráfego originário do mundo exterior.

Firewalls agem como um portal de segurança, provendo segurança para os componentes dentro do perímetro protegido por este portal, controlando quem, ou o que é permitido entrar neste ambiente restrito, ao mesmo tempo em que exerce o controle do que é permitido sair deste mesmo perímetro. Trata-se de um trabalho semelhante ao de um guarda que protege a porta principal de um castelo, controlando e autenticando quem pode ou não ter acesso às dependências da fortaleza.

Assim como o guardião, um firewall bem implementado é aquele que, através de um controle baseado em filtros de tráfego, permitirá acesso restrito a determinadas portas e executará o bloqueio de todos os demais serviços a fim de evitar acesso não autorizado de visitantes indesejáveis. Para executar tal tarefa, o firewall necessita funcionar como um ponto único de entrada.

Quando pensamos neste ponto único de entrada, associamos imediatamente ao pensamento de um ambiente conectado à Internet a partir da utilização dos dispositivos de roteamento de tráfego, ou seja, roteadores. Apesar de algumas empresas utilizarem o roteador como dispositivo único para tradução da política de segurança, é importante lembrar que na maioria das implementações de segurança os sistemas de firewall são utilizados para trabalhar juntamente ao roteador, compondo uma solução eficaz de defesa de perímetro. Entenda-se como uma das características básicas de um firewall, proteger o ambiente contra ataques de hackers, e como característica básica de um roteador, a habilidade de rotear pacotes entre redes.

Não é recomendado o espelhamento das regras que são traduzidas pela política de segurança em roteadores e sistemas de firewalls (mesmas regras aplicadas em roteadores e firewalls). Ao invés de ter regras inteiras replicadas no roteador, a solução de uma defesa de perímetro eficaz baseia-se no princípio de que, de acordo com suas caracteristicas básicas, o roteador e o sistema de firewall necessitam trabalhar juntos.

Em vias normais, o roteador permite a passagem de qualquer tipo de tráfego, aplicando somente restrições de access-lists (filtros) quanto a pacotes originários de endereços de redes inválidas previstas em RFC, além de outros filtros de proteção contra endereços IP e serviços específicos (proteção de tráfego ICMP, por exemplo). Em constraste, os sistemas de Firewall necessitam desempenhar papel oposto ao dos roteadores, executando o bloqueio de qualquer tipo de tráfego e permitindo somente a passagem de tráfego específico em serviços e Ips autorizados.

A base para uma política de segurança adequada deve conter recomendações de filtros contra os serviços mais perigosos e explorados por invasores na tentativa de execução de um ataque para o comprometimento de ambientes. A política de segurança necessita estar em sintonia com os serviços (portas/protocolos) que mais são explorados para tentativas de invasão. Através do bloqueio destas portas e protocolos, pode-se atingir um nível mínimo de requerimento para a segurança de perímetro. A melhor regra aplicável a sistemas de firewall é o bloqueio total dessas portas, e mesmo que as mesmas estejam bloqueadas, é altamente aconselhável a monitorácão das mesmas para detecção de tentativas de invasão.

É importante frisar que o bloqueio de algumas das portas especificadas na listagem a seguir pode acarretar na paralisação de serviços necessários. Considere os efeitos potenciais das recomendações a seguir antes de implementá-las.

Recomendações de filtros (bloqueios) para defesa de perímetros:

01. Executar o bloqueio de endereços forjados (“spoofed” addresses)
Pacotes originários do mundo exterior com origem de redes privadas (endereços internos previstos na RFC 1918 e rede 127) devem ser bloqueados.

02. Serviços de Login
telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), NetBIOS (139/tcp), rlogin (512/tcp até 514/tcp)

03. RPC e NFS
Portmap/rpcbind (111/tcp e 111/udp), NFS (2049/tcp e 2049/udp), lockd (4045/tcp e 4045/udp)

04. NetBIOS no Windows NT
Portas 135 (tcp e udp), 137 (udp), 138 (udp), 139 (tcp). No Windows 2000
– adicionar porta 445(tcp e udp)

05. X Windows
Range de portas de 6000/tcp até 6255/tcp

06. Serviços de Transferência de Zona / Resolução de Nomes – DNS / Amazenagem
Bloqueio de DNS (53/udp) para todas as máquinas que não são servidores de DNS, transferência de zona (53/tcp) exceto de servidores de DNS secundários. Bloqueio do serviço de armazenamento de diretórios LDAP (389/tcp e 389/udp)

07. Mail
SMTP (25/tcp) para todas as máquinas que não são relays externos, POP (109/tcp e 110/tcp) e IMAP (143/tcp)

08. Web
Bloqueio de HTTP (80/tcp) e SSL (443/tcp) exceto para servidores que provem serviços web para acesso externo. Outro bloqueio considera as portas altas utilizado por serviços HTTP como Proxy (8000/tcp, 8080/tcp,8888/tcp etc.)

09. “Small Services”
Portas abaixo da 20/tcp e 20/udp e serviço time (portas 37/tcp e 37/udp)

10. Miscellaneous
TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD (515/tcp), syslog (514/udp), SNMP (161/tcp e 161/udp, 162/tcp e 162/udp), BGP (179/tcp) e SOCKS (1080/tcp)

11. ICMP
Bloqueio de requisições de echo request (ping e Windows traceroute), bloqueio de saída de echo replies, time exceeded, e mensagens do tipo unreachable.