Segurança na Internet

Segurança na Internet

e Firewalls

Danielle Franklin

Recife, 18 de março de 1996

Departamento de Informática

Universidade Federal de Pernambuco

1 Introdução

O sistema operacional Unix não foi projetado visando a segurança do sistema e por este motivo vários tipos de precauções devem ser tomadas para suprimir esta falha. Segurança, em gera l, é um combinação de conveniência, custo e tempo disponível: conveniência porque é necessário saber a que ponto a segurança do seu sistema não pode atrapalhar as necessidades dos usuários, custo porque se deve avaliar o custo-benefício da implantação do seu sistema de segurança e tempo disponível porque é preciso saber quanto do tempo do administra dor de sistemas vale a pena ser dedicado para verificação de falhas na segurança. Tudo isto vai depender do seu estabelecimento e da importância dos dados armazenados no seu sistema. É claro que, na Era da Internet Comerc ial, nenhuma empresa vai conectar sua rede a Internet, se ela achar que seus dados podem correr algum risco de serem violados.

Vários mecanismos de software e hardware já foram desenvolvidos para garantir a segurança externa da rede. Um deles é conhecido como firewalls que são usados para tentar barrar qualquer tipo de acesso não autorizado a sua rede.

2 O que é Segurança?

Segurança do Sistema: um sistema é dito seguro se seus mecanismos de hardware e software se comportam exatamente como se espera.

Se espera-se que os dados armazenados na sua máquina hoje estejam lá daqui há algumas semanas e que ninguém vai violá-los, então a máquina é segura. Este conceito é norm almente chamado de confiável.

Por definição, desastres naturais e softwares que não funcionam bem são considerados uma ameaça a segurança, como usuários não autorizados também são. N&at ilde;o importa se seus dados foram apagados por um empregado vingativo, um vírus qualquer ou por um raio que destruiu as suas máquinas (será que isto lembra alguma coisa?). Os dados se foram do mesmo jeito. Esta definiçã o pode também implicar que segurança também é se preocupar em testar os softwares e hardwares e se prevenir contra erros de usuários.

Conhecer algo sobre conceitos, como avaliação dos riscos, política de segurança, etc, é importante para fazer a segurança do seu sistema. O primeiro passo para melhorar a segurança do seu sistema é responder as seguintes questões:

O que se está tentando proteger?

Contra o que se está tentando proteger?

Quanto tempo, esforço e dinheiro se pretende gastar para se obter proteção adequada?

Se não se sabe responder estas questões, a tarefa será bem mais difícil. Além do mais, é necessário entender como se estabelecer e aplicar uma política de segurança unif orme.

3 Tipos de Segurança

Existem muitos tipos diferentes de segurança. Os administradores de sistemas devem se preocupar no mínimo com os seguintes tipos:

Privacidade: proteger a informação para que esta não seja lida por ninguém que não esteja explicitamente autorizado pelo proprietário da informação. Isto inclui nã ;o só proteger a informação no total, mas também proteger partes individuais da informação que podem parecer inofensivas sozinhas, mas que podem ser usadas para deduzir outra informação confidencial .

Integridade dos Dados: proteger informação para que esta não seja apagada ou alterada sem a permissão do proprietário da informação. Informação para ser pr otegida também inclui informação de forma não óbvia como registros de contas, fitas de backups, horário da criação de arquivos e documentação.

Disponibilidade: proteger os serviços de maneira que eles não sejam degradados ou deixados não disponível sem autorização. Não ter o sistema disponível quando um usuário autorizado precisa dele, normalmente, é tão ruim quanto ter a informação apagada do sistema.

Consistência: ter certeza que o sistema se comporta como os usuários esperam. Se o software ou hardware começa inesperadamente a se comportar de maneira radicalmente diferente da manei ra que ele se comportava antes, isto pode ser um desastre.

Isolamento: regular acesso ao sistema. Achar indivíduos ou softwares desconhecidos e não autorizados no seu sistema pode ser um grande problema. O administrador deve se preocupar como eles entraram , o que eles podem ter feito e o que e quem mais pode ter acessado o seu sistema. Se recuperar de tais episódios pode envolver tempo e gasto considerável para reconstruir e reinstalar o sistema e então verificar que nada importante fo i mudado ou revelado.

Auditoria: além de se preocupar com usuários não autorizados, usuários autorizados algumas vezes cometem erros ou mesmo agem de má fé. Em casos como estes, é necess&aacu te;rio determinar o que foi feito, por quem e o que foi afetado. A única maneira de se atingir isto é tendo alguns registros não corruptíveis das atividades do sistema que positivamente identifica os autores e açõ es envolvidas.

O que será discutido aqui é um tipo de mecanismo de Isolamento chamado Firewalls.

4 O que são Firewalls?

Um número de problemas de segurança na Internet podem ser remediados ou tornados menos sérios através do uso de técnicas existentes e conhecidas e do controle da segurança do host< /I>. Um Firewall pode melhorar significantemente o nível de segurança do seu site ao mesmo tempo que permitindo acesso a serviços vitais da Internet.

Várias são as definições dadas a um firewall:

Um firewall é um mecanismo que ajuda a implementar uma política de segurança que define os serviços e acessos permitidos e é uma implementação desta política em termos d e configuração de rede, ou

Um firewall é uma solução de software e/ou hardware que restringe o acesso da sua rede interna a Internet e vice versa, ou

Um firewall é um checkpoint: todo tráfego saindo e entrando é parado neste ponto para ser avaliado.

Além de ser usado para separar a rede local da Internet, um firewall também pode ser usado para separar duas ou mais partes da rede local. Um sistema de firewall pode ser um roteador, um PC, um host ou uma coleção de hosts, configurados especificamente para proteger um site ou subrede de protocolos e serviços que podem ser usados abusivamente por hosts que estão fora da subrede.

5 Por que Firewalls?

A principal razão para se usar um firewall é, quase sempre, proteger uma rede privada contra intrusos. Na maioria dos casos, o propósito de um firewall é impedir usuários n&ati lde;o autorizados de acessar recursos computacionais de uma rede privada e muitas vezes impedir exportação não autorizada e despercebida de informações importantes.

Num ambiente sem firewall, a segurança da rede recai totalmente na segurança dos hosts e todos os hosts devem, de uma certa forma, cooperar para atingir um nível uniforme de segurança . Quanto maior a subrede, mais difícil é manter todos os hosts no mesmo nível de segurança. Quanto mais comuns se tornam as falhas na segurança, mais break-ins acontecem, não como um resultado de ata ques complexos, mas por causa de simples erros de configuração e senhas inadequadas.

Um firewall oferece muitas vantagens para os sites, ajudando a aumentar a segurança total do host. Tais vantagens são:

Proteção a serviços vulneráveis: um firewall pode melhorar a segurança da rede e reduzir riscos aos hosts na subrede, filtrando serviços inseguros inerentes. Como resultado disto, o ambiente da subrede é exposto a menos riscos, já que apenas protocolos selecionados poderão passar através do firewall.

Acesso controlado a sistemas locais: um firewall também oferece a capacidade de controlar o acesso a sistemas de sites. Um site, por exemplo, pode evitar acesso de fora a seus hosts, exceto em casos especiais, como servidores de mail ou servidores de informação.

Segurança concentrada: um firewall pode ser mais barato para uma organização já que todos ou quase todos os softwares modificados ou os softwares adicionais de seguran&c cedil;a podem ser localizados no sistema de firewall, ao contrário de estar distribuído em vários hosts.

Privacidade aumentada: privacidade é de grande importância para alguns sites, já que o que pode ser considerado informação inofensiva pode, na verdade, conter pistas que podem s er úteis para um atacante. Com o uso de firewall, alguns sites desejam bloquear serviços como finger e DNS. finger, por exemplo, mostra informações sobre usuários que podem ser de muita utilid ade para um cracker.

Loggins e estatísticas sobre o uso ou mau uso da rede: se todo acesso da e para a Internet passar através de um firewall, pode-se registrar acessos e oferecer estatísticas valiosas sobre o u so da rede. Um firewall, com alarmes apropriados que soariam quando atividades suspeitas ocorressem, pode também oferecer detalhes de se uma rede está sendo atacada.

Cumprimento da política de segurança: um firewall oferece meios para implementar e forçar uma política de acesso a rede. De fato, um firewall oferece acesso controlado a usu&aa cute;rios e serviços. Um política de acesso pode ser forçada por um firewall e sem ele, tal política depende totalmente da cooperação dos usuários.

Contudo, firewalls também possuem suas desvantagens e coisas contra o que ele não pode proteger. Um firewall não é, em hipótese alguma, a solução absoluta para pr oblemas de segurança na Internet. A desvantagem mais óbvia é que ele pode bloquear certos serviços que usuários desejam usar, como TELNET, FTP, X WINDOWS, NFS, etc. Uma política de segurança bem planejada q ue balanceia requisitos de segurança com as necessidades dos usuários pode ajudar enormemente a aliviar problemas com a redução do acesso a serviços.

Além da desvantagem acima, firewalls não protegem contra back doors no site. Por exemplo, se acesso não restrito de modem ainda é permitido a um site protegido por um firewa ll, intrusos podem efetivamente saltar sobre o firewall.

Outra desvantagem é que firewalls não oferecem proteção interna. Enquanto um firewall pode ser projetado para evitar que externos obtenha dados sensíveis, ele não evita que um usu&aac ute;rio interno aja de má fé ou copie os dados numa fita e a leve para fora. Usuários internos também podem causar muitos problemas.

Outros problemas com firewalls são: 1) segurança com servidores WWW, 2) MBONE (Multicast IP transmission) porque certos dados são encapsulados nos pacotes e normalmente o firewall propaga os pacotes sem examinar o que tem dentro dele, 3) vírus, 4) vazão porque um firewall representa um gargalo em potencial, já que todo o tráfego de fora tem que passar por ele primeiro, 5) um firewall concentra toda s egurança em um só ponto e se este ponto falhar, toda segurança do sistema fica comprometida.

6 Políticas de um Firewall

É necessário se conhecer a Política da Rede antes de decidir que tipo de firewall deseja-se colocar no seu sistema. Existem dois níveis de políticas de rede que influenciam diretament e o design, a instalação e o uso de um sistema de firewall:

Política de Acesso ao Serviço;

Política de Design do Firewall;

A Política de Acesso ao Serviço é uma política de alto nível que define aqueles serviços que serão permitidos ou explicitamente proibidos, como estes serviços serão usad os e as condições de exceção desta política. Esta política deve focalizar em aspectos de uso específicos a Internet.

Para que um firewall funcione da maneira que se espera, a política de acesso aos serviços deve ser realista e confiável e deve ser definida antes de se implementar o firewall. Uma política r ealista significa que ela deve proteger a rede de riscos conhecidos e ao mesmo tempo oferecer aos usuários os serviços que eles desejam usar.

Um firewall pode implementar um número de políticas de acesso aos serviços, mas uma política típica é não permitir nenhum acesso da Internet a um site, mas permitir aces so de um site a Internet. Outra política típica é permitir alguns acessos da Internet, mas apenas para sistemas selecionados como servidores de e-mail ou de informações.

A Política de Design do Firewall é uma política de baixo nível que descreve como o firewall vai restringir o acesso e filtrar os serviços que foram definidos na política de mais alto nível. Deve-se decidir se a segurança é mais importante do que a facilidade de uso ou vice-versa. Existem duas abordagens básicas que resumem este conflito:

"Tudo o que não é expressamente permitido é proibido."

"Tudo o que não é expressamente proibido é permitido."

No primeiro caso, o firewall deve ser projetado para bloquear tudo e os serviços devem ser habilitados caso a caso, somente após uma avaliação rígida da necessidade e dos riscos. Esta aborda gem causa impacto direto nos usuários que podem começar a ver o firewall com maus olhos.

No segundo caso, o administrador de sistemas tem que prever que tipos de ações os usuários podem fazer que possa comprometer a segurança do firewall e preparar defesas contra isto.

Decidir por uma abordagem ou outra vai depender do nível de segurança que se deseja implantar. Ambas possuem seus inconvenientes.

7 Alguns Tipos de Firewalls

Existem vários tipos de configuração de um firewall, contudo veremos apenas quatro das mais usados:

Packet Filtering Firewall;

Dual-homed Gateway Firewall;

Screened Host Firewall;

Screened Subnet Firewall;

7.1 Packet Filtering Firewalls

Um Packet Filtering Firewall é talvez o mais comum e o mais fácil de se empregar em sites pequenos e não complicados. Contudo, ele sofre de um número de desvantagens e é o menos desej ável se comparado com a capacidade das outras configurações.

Sua composição é simples. Basicamente se instala um packet filtering router no gateway da Internet e então se configura as regras de filtragem no roteador para bloquear ou filtrar protocolos e endereços. Um packet filtering router é projetado para filtrar pacotes quando eles passam pela interface do roteador. Tais pacotes podem ser filtrados baseados em um ou mais dos seguintes campos:

endereço IP fonte;

endereço IP destino;

porta fonte TCP/UDP;

porta destino TCP/UDP;

A filtragem pode ser usada de várias maneiras para bloquear conexões de ou para hosts específicos e bloquear conexões para algumas portas. Como certos serviços residem em portas especí ;ficas e o packet filtering router tem esta capacidade de filtrar pacotes que vão para determinadas portas, fica mais fácil restringir ou bloquear certos serviços. Normalmente serviços como NIS, NFS e X Windows sã o bloqueados.

Um Packet Filtering Firewall sofre de desvantagens que podem se tornar bastante graves quando as necessidades de segurança se tornam mais complexas e rigorosas. Algumas dessas desvantagens são citadas a seguir:< /P>

Existe pouca ou nenhuma capacidade de registrar informações úteis, portanto o administrador não tem como determinar se o roteador foi comprometido ou está sob ataque.

Regras de filtragem de pacotes são difíceis de testar minuciosamente, o que pode deixar um site aberto a vulnerabilidades não testadas.

Se regras de filtragem complexas são necessárias, elas podem se tornar bastante complicadas de se gerenciar.

Cada host diretamente acessível pela Internet terá que ter sua própria cópia de medidas de autenticação avançada.

7.2 Dual-homed Gateway Firewall

Um Dual-homed Gateway Firewall consiste de um sistema de hosts com duas interfaces de rede, com a capacidade de propagação de IP do host desabilitada. A condição default &eacut e; que o host não pode mais rotear os pacotes entre as duas redes conectadas. Para complementar, um packet filtering router pode ser colocado na conexão com a Internet para oferecer maior proteção.

Ao contrário do Packet Filtering Firewall, o Dual-homed Gateway Firewall bloqueia totalmente o tráfego IP entre a Internet e os sites protegidos. Serviços e acessos são oferecidos pel os application gateways, que são hosts que executam softwares de aplicação que servem para propagar e filtrar conexões para serviços como TELNET e FTP. É simples, mas muito seguro.

Este tipo de firewall implementa a política "tudo o que não é expressamente permitido é proibido", já que nenhum serviço pode passar a menos que tenha permissão no application gateway. Pode ser usado para se atingir um nível mais alto de privacidade, já que as rotas para a subrede só precisam ser conhecidas pelo firewall e não pela Internet como um todo. Esta só teria necessidade de saber a rota para o firewall. Os nomes e endereços IP do sistemas de sites seria escondido da Internet, porque o firewall não passaria informações do DNS.

A inflexibilidade do Dual-homed Gateway Firewall pode se tornar uma desvantagem para alguns sites. Já que todos os serviços são bloqueados, a menos daqueles que são permitidos pelo applic ation gateway, acesso a outros serviços não pode existir e sistemas que necessitam deste acesso devem ficar do lado do gateway onde fica a conexão com a Internet.

7.3 Screened Host Firewall

Um Screened Host Firewall é mais flexível que o exemplo citado no seção anterior, contudo tal flexibilidade é atingida com um custo maior. Este tipo é próprio para sites que necessitam de mais flexibilidade.

Esse firewall combina um packet filtering router com um application gateway que fica do lado do roteador onde fica a subrede protegida. O application gateway só necessita de um interface de rede e só passaria serviços permitidos como TELNET, FTP e outros. Com isto, a tarefa do roteador seria filtrar ou impedir que protocolos perigosos atinjam o application gateway e a rede interna. Ele irá rejeitar tráfego de acor do com as seguintes regras:

Tráfego de aplicações vindo da Internet para o application gateway é roteado.

Qualquer outro tráfego vindo da Internet é bloqueado.

O roteador rejeita qualquer aplicação vinda da rede interna, a menos que tenha vindo do application gateway.

Como os application gateways só necessitam de um interface de rede e não necessitam de uma subrede separada entre o ele e o roteador, é permitido que o firewall seja mais flexível, mas menos seguro, permitindo que o roteador passe alguns serviços considerados confiáveis diretamente para a rede interna, sem necessidade de passar pelo application gateways. Estes serviços confiáveis devem ser aqueles que os ri scos de usá-los já foram avaliados e aceitos.

A flexibilidade adicional deste firewall é causa para duas desvantagens importantes. A primeira é que existem agora dois sistemas que necessitam ser configurados cuidadosamente: o roteador e o application ga teway. Como já dito anteriormente, regras de filtragem de pacotes do roteador podem se tronar muito complexas, difíceis de testar e sujeitas a erros que levam a furos na segurança. Contudo, já que o roteador só neces sita restringir o tráfego para o application gateway, o conjunto de regras pode não ser tão complexo.

A segunda desvantagem é que a flexibilidade abre a possibilidade para que a política possa ser violada. Vale a pena repetir que uma política forte é essencial.

7.4 Screened Subnet Firewall

Um Screened Subnet Firewall é uma variação dos dois últimos. Pode ser usado para localizar cada componente do firewall num sistema separado, com isto conseguindo maior flexibilidade e vazão, mas com algum custo para a simplicidade. Cada componente só precisa implementar uma tarefa específica, tornando o sistema menos complexo para se configurar.

Na figura baixo, dois roteadores são usados para criar uma subrede protegida interna. Esta rede interna abriga o application gateway, e também poderia abrigar servidores de informação, servi dores de e-mail, e outros sistemas que necessitam ser controlados cuidadosamente.

O roteador mostrado como ponto de conexão com a Internet roteia o tráfego de acordo com as seguintes regras:

Tráfego de aplicação do application gateway para a Internet é roteado.

Tráfego de mails do servidor de e-mails para a Internet é roteado.

Tráfego de aplicações da Internet para o application gateway é roteado.

Tráfego de e-mail da Internet para o servidor de e-mails é roteado.

Tráfego ftp, gopher, etc, da Internet para o servidor de informações é roteado.

Qualquer outro tráfego é bloqueado.

O roteador mais externo restringe o acesso da Internet a sistemas específicos e bloqueia qualquer outro tráfego para a Internet que não originem dos casos citados acima.

O roteador mais interno passaria tráfego de e para sistemas na rede protegida de acordo com as seguintes regras:

Tráfego de aplicação do application gateway para a rede interna é roteado.

Tráfego de mails do servidor de e-mails para a rede interna é roteado.

Tráfego de aplicações da rede interna para o application gateway é roteado.

Tráfego de e-mail da rede interna para o servidor de e-mails é roteado.

Tráfego ftp, gopher, etc, da rede interna para o servidor de informações é roteado.

Qualquer outro tráfego é bloqueado.

Portanto, a rede interna não é em hipótese alguma atingida diretamente pela Internet, nem vice versa, exatamente como no dual-homed gateway firewall. A grande diferença é que os roteadores s ão usados para direcionar o tráfego para sistemas específicos, deste modo eliminando a necessidade do application gateway ter duas interfaces de rede.

Como no caso do screened host firewall, pode-se tornar este firewall mais flexível permitindo o roteamento direto de certos serviços confiáveis da Internet para a rede interna. Contudo, esta flexib ilidade pode enfraquecer seu efeito, mas se vazão e flexibilidade são importantes, o Screened Subnet Firewall pode ser preferível.

Existem duas desvantagens principais nesse tipo de implementação. A primeira é que serviços confiáveis podem passar diretamente para rede interna, o que enfraquece a política. A segunda desv antagem é que mais ênfase é dada aos roteadores no que diz respeito a segurança. Como já dito, packet filtering router são às vezes muito complexos para configurar e erros podem se trona r um grande desastre.

8 Conclusão

Quando estamos tratando de firewalls, não é muito razoável dizer que uma abordagem é melhor que outra, já que existem muitos fatores que determinam que firewall melhor se adequ a a uma dada situação. Custo, política da organização, tecnologia existente na rede são considerações técnicas que devem ser analisadas.

Como dito, é necessário se ter uma boa política de segurança, além de se avaliar com cuidado a relação custo-benefício e nível de segurança versus necessidade de uso, para poder decidir o tipo de firewall que se deseja ter para proteger a sua rede.

A pergunta para se discutir aqui é: firewalls são a melhor solução para se obter segurança de acesso?
Bibliografia

Cheswick, William e Bellovin, Steven. Firewall and Internet Security: Reppeling the Wily Hacker. Massachussets: Addison-Wesley Publishing Company, 1994.

Garfinkel, Simson and Gene Spafford. Practical Unix Security, O’Reilly & Associates, Inc, 1991.

Siyan, Karanjit e Hare, Chris. Internet Firewalls and Network Security. Indianápolis: New Riders Publishing, 1995.

Wack, John e Carnahan, Lisa. "Keeping Your Site Comfotably Secure: An introduction to Internet Firewalls". National Institute of Standards and technology, http://158.64.4.9/CNS/html/PubServ/Security/Document s/Nist-fw-intro/index.html.

Ranum, Marcus. "Thinking About Firewalls". Trusted Information Systems, Inc. Glenwood, Maryland. ftp: ftp.tis.com.