Infra-estrutura de Segurança – Firewall resolve?

Muitas empresas imaginam que estão seguras porque já instalaram um firewall no seu link Internet. Esta é uma percepção errada e perigosa, pois existem várias questões que devem ser verificadas e constantemente aprimoradas para garantir a segurança de uma empresa.

O firewall, geralmente colocado na borda da rede, funciona como um ponto de verificação que permite ou não a comunicação de acordo com as regras configuradas. Podemos separar os firewalls em três tipos diferentes de tecnologia utilizada: packet filtering, stateful inspection e application proxy.

A tecnologia de packet filtering foi uma das primeiras a ser implementada nos roteadores e utiliza as características do pacote de rede que está passando pelo roteador para permitir ou não sua passagem.

O packet filtering é a mais simples das três tecnologias. É bastante limitada por não conseguir filtrar adequadamente protocolos de rede que abrem portas dinamicamente sem precisar abrir por completo toda uma faixa de portas e endereços.

O stateful inspection é a tecnologia mais utilizada nos firewalls atualmente, tem capacidade de identificar o contexto do pacote dentro de uma comunicação estabelecida e assim permitir ou não a passagem. Para se ter uma idéia do que isso significa, a ferramenta verifica se os pacotes são resposta a uma requisição anteriormente realizada e analisada, considerada de acordo com a política implementada nas regras do firewall e colocada em uma tabela de estados para referência futura quando a resposta à requisição voltar.

O uso das tabelas de estados no stateful inspection firewall garante um grande desempenho ao permitir que os pacotes que se seguem depois de iniciada uma comunicação passem rapidamente pelo firewall sem ter de passar novamente pelas regras da política de segurança. Portas são abertas temporariamente somente para os pacotes corretos de acordo com o tipo e de acordo com o comportamento dinâmico previamente conhecido do protocolo que está sendo utilizado.

O application proxy firewall permite a análise de todas as camadas de comunicação até a camada 7, ou seja, até a última camada do modelo OSI, que é a camada de aplicação. Isto permite um controle total da comunicação impedindo os ataques que tentam explorar, por exemplo, vulnerabilidades nas aplicações dentro dos servidores. Como exemplo, um packet filtering firewall permitiria a passagem de pacotes na porta 80 (geralmente protocolo HTTP) mesmo que ninguém os tivesse requisitado; um statefull inspection firewall permitiria a passagem do protocolo HTTP para o servidor WEB da empresa porque está de acordo com as regras definidas; somente o application proxy firewall bloquearia uma seqüência especial de caracteres misturada nas informações HTTP que fazem a aplicação dentro do servidor travar.

Se o application proxy firewall é tão bom, porque ele não é utilizado por todos? Provavelmente porque esta técnica exige muito recurso de CPU e não consegue grande escalabilidade, o que torna a solução cara e de difícil manutenção. Para cada comunicação estabelecida, o firewall tem que abrir uma conexão com o cliente e outra com o servidor.

Para cada protocolo e/ou aplicação nova que surge, existe a necessidade de nova implementação no firewall. Isso para que esta seja corretamente acompanhada pelo proxy sob pena de ter de utilizar um mecanismo padrão que só coloca um intermediário atrasando e, em alguns casos, atrapalhando a comunicação.

Qualquer que seja a tecnologia utilizada, a instalação do firewall deve ser acompanhada de várias ações e soluções complementares como mostram os questionamentos a seguir:

- As regras implementadas no firewall estão corretas? Às vezes, por descuido, necessidade de liberar rapidamente um acesso ou limitações do firewall utilizado, verdadeiros buracos deixam sistemas inteiros expostos. O firewall sozinho é como a porta de um cofre, sem o acompanhamento adequado dos logs ou de um IPS (Intrusion Prevention System), pode ser comprometido se for atacado constantemente.

- O que acontece se o link Internet ficar indisponível? Existe um link secundário? Para o caso de queda do link Internet, devem existir esquemas de contingência e, de preferência, automáticos para a empresa continuar a receber e-mails e manter as páginas WEB no ar.

Além do firewall, devemos nos preocupar com o roteador e com os links de acesso. Um sistema de balanceamento e priorização do tráfego permite que as aplicações de missão crítica estejam sempre disponíveis e com a banda adequada.

- Com o aumento da disponibilidade de banda larga os usuários exigem cada vez mais o acesso remoto à rede. Como é possível identificar corretamente quem está tentando o acesso? Depois da correta autenticação, quais são as verificações necessárias na estação remota antes de permitir o acesso?

Os concentradores VPN permitem que o acesso remoto seja feito de forma segura, com autenticação e criptografia de dados. Existem softwares clientes VPN que utilizam IPSec e, mais recentemente, esquemas que necessitam apenas de um internet browser na ponta para utilizar SSL VPNs que dispensam o uso de softwares adicionais. O uso de autenticação forte é importante para garantir que mesmo que uma senha seja comprometida ela não possa ser reutilizada em outros acessos. Sistemas de controle de acesso para garantir que a estação remota está com parâmetros mínimos de segurança como antivírus, patches de sistema operacional e firewall pessoal instalados é importante para evitar que códigos maliciosos sejam transmitidos pela VPN.

- A maioria dos ataques vêm de dentro da empresa. Existe alguma forma de detectar e isolar o problema rapidamente? Um usuário infectado pode começar a enviar informações para fora da empresa, atacar os servidores e utilizar toda a banda do link internet sem violar as regras do firewall.

Alguns firewalls permitem tudo de dentro para fora e quando um usuário é infectado por algum malware, a conexão inicia-se de dentro da rede.

As ameaças geralmente vêm por e-mail e navegação WEB (http e https) que estão normalmente liberados nas regras do firewall.

Os switches podem melhorar a segurança na rede através do uso de VLANs e filtros. Mesmo que um servidor dentro da rede seja comprometido, ele não deve conseguir atacar os demais.

O uso de 802.1x, que permite o acesso aos recursos da rede somente depois de o usuário autenticar-se, garante que somente pessoas autorizadas podem utilizar a rede local impedindo que pessoas não autorizadas utilizem ferramentas de sniffing para capturar informações. Usuários que não conseguem se autenticar devem cair em uma VLAN com acesso limitado de navegação WEB, por exemplo.

O 802.1x é muito importante em ambientes onde existem portas de rede ativas como salas de reuniões fechadas, quartos de hospital e ambientes wireless em que pessoas podem facilmente trazer um notebook para atacar a rede.

Ainda na parte de proteção dos switches, podemos citar como boa prática a restrição ao acesso SNMP, colocar todas as portas que não sejam de interligação de switches em non-truncking mode, adoção de port-security, rate limiting e BPDU guard para os ambientes que possuem spanning-tree habilitado.

Soluções de controle de acesso à Internet, anti-vírus, anti-spam e anti-spyware ajudam bloqueando o acesso dos usuários a páginas WEB infectadas, aumentando a produtividade, eliminando ataques de negação de serviço, impedindo a saída de informações de spywares e trojans que já tenham contaminado as estações e registrando-as em relatórios para que sejam corrigidas.

Como soluções complementares indicadas para proteção contra ataques que exploram vulnerabilidades nos sistemas operacionais e nas aplicações, podemos colocar, além do sistema de IDS/IPS para monitorar os seguimentos de rede, as soluções de software de bloqueio baseados em comportamento. Os ataques de vírus e malware resumem-se em algumas técnicas (cerca de 60) já bem conhecidas e cujo comportamento repete-se de um vírus para outro. Mais eficiente que procurar os vírus que se modificam diariamente para dificultar a sua identificação é bloquear as atividades suspeitas como, por exemplo, a tentativa de acesso a uma área de memória não alocada para o próprio programa (uma das técnicas bem conhecidas).

Dessa forma, não precisamos mais nos preocupar com a corrida incessante de atualização de assinatura de vírus ou aplicação de patches, basta bloquear as atividades suspeitas. Foi assim que o SQL Slammer foi bloqueado nas primeiras horas sem mesmo sabermos que era o Slammer. Sabemos que ataques mais recentes são bem mais controlados e menos generalizados, pois a motivação não é mais fama e sim ganho financeiro. Muitos códigos maliciosos recentes estão se aproveitando de vulnerabilidades para atacar sistemas abertos sem levantar muito alarde e ganhar dinheiro fácil em um curto espaço de tempo e deixando o mínimo de rastro possível. Esperar pela descoberta do malware e posterior confecção de uma assinatura pode ser tarde demais.

Além de uma infra-estrutura de rede com configurações adequadas, é necessário um sistema de gerenciamento e acompanhamento através de relatórios que permita o monitoramento contínuo e a verificação dos diversos logs correlacionando rapidamente os eventos para que medidas de correção sejam tomadas de modo eficaz.

Conhecer o ambiente de rede da empresa, os servidores e as aplicações envolvidas, ter um sistema centralizado de configuração e gerenciamento, implementar de forma regular as atualizações de firmware e patches, manter um sistema de autenticação forte estão entre as atividades do dia-a-dia do profissional de segurança que vão muito além de configurar regrinhas de acesso no firewall da Internet.

. Por: Vitório Urashima, Gerente de Tecnologia da Tecnoset