Firewall usando roteadores de triagem
Esta seção analisa os vários tipos de firewalls e descreve os serviços de firewall fornecidos pelo BorderManager. Ela contém as seguintes subseções:
Os firewalls são uma combinação de hardware e software que reduzem o risco de uma violação de segurança em uma intranet privada. Um firewall efetivo entre a intranet ou rede privada e a Internet, ou entre segmentos da intranet, reforça a segurança corporativa e as diretivas de controle de acesso. Também ajuda a regular o tipo de tráfego que pode acessar a intranet e fornece informações sobre esse tráfego ao administrador.
Você pode configurar seu firewall para negar acesso a uma rede privada a partir da Internet, mas para permitir o acesso à Internet. Pode também permitir um acesso parcial - a e-mail ou a informações corporativas gerais - a partir da Internet, concedido somente a alguns servidores selecionados.
A finalidade de um firewall é criar um sistema que impeça que usuários não autorizados acessem informações proprietárias. Como foi mencionado anteriormente, o projeto de uma diretiva efetiva de segurança que atenda às suas necessidades exige planejamento cuidadoso e análise dos objetivos. Esta seção se concentra somente na compreensão da parte do firewall.
O modelo OSI (Open System Interconnection) mostrado na tabela a seguir dá uma idéia de cada camada mapeada para as tecnologias de firewall correspondentes da Internet. Algumas tecnologias abrangem mais de uma camada. Os níveis superiores desse modelo permitem controlar melhor ou com mais precisão os dados que entram na rede, mas isso prejudica a performance. Os níveis inferiores precisam de menos tempo para rotear os dados, mas comprometem a segurança em função da performance.
|
Camada OSI |
Tecnologia de Firewall |
|---|---|
|
Aplicativo |
VPN (Virtual Private Network)Cache de Objetos da Internet |
|
Apresentação |
VPN |
|
Sessão |
VPN |
|
Transporte |
VPNGateways IPX/IPFiltragem de pacotes |
|
Rede |
VPNNAT (Conversão de Endereços de Rede)Filtragem de pacotes |
|
Link de Dados |
VPNPPP (Point-to-Point Protocol)Filtragem de pacotes |
|
Física |
Não aplicável |
Embora, algumas vezes, seja feita referência a um firewall como uma tecnologia individual, na verdade ele é uma combinação de vários serviços que funcionam juntos como uma camada de proteção para garantir uma fronteira de rede segura. Essas tecnologias baseiam-se na segurança básica já disponível em muitos serviços da Internet. Os firewalls fornecem segurança para serviços que não dispõem da mesma (por exemplo, e-mail). Os firewalls também protegem os hosts. Existem vários tipos básicos de firewalls:
Um roteador de triagem é o tipo mais simples de firewall e usa apenas o recurso de filtragem de pacotes para controlar e monitorar o tráfego da rede que passa pela fronteira. Em um servidor com filtragem de pacotes, esses roteadores podem bloquear o tráfego entre as redes ou, por exemplo, o tráfego destinado a ou proveniente de hosts específicos em um nível de porta IP. Por exemplo, você pode permitir que funcionários da sua intranet usem o Telnet, mas impedir qualquer atividade Telnet a partir da Internet. Em geral, a comunicação direta é permitida entre vários hosts na rede privada e na Internet. A Figura 1-1 mostra um exemplo simples de como funciona um roteador de triagem.
Figura 1-1.
Firewall usando roteadores de triagem
O risco de violação é maior com esse tipo de firewall: cada host na rede privada está exposto à Internet e é um ponto potencial de violação. Usuários não autorizados podem detectar e usar endereços internos para acessar informações dentro do firewall. Para evitar violação, os roteadores de triagem podem ser configurados para procurar o endereço de origem de cada cabeçalho IP que chega, em vez do endereço de destino, e descartar os endereços privados provenientes da Internet.
Um host de bastião representa a rede privada na Internet. O host é o ponto de contato para o tráfego que chega da Internet e, como um servidor proxy, permite que clientes da intranet acessem serviços externos.
Um host de bastião executa somente alguns serviços (por exemplo, serviços de e-mail, FTP, DNS ou Web). Os usuários da Internet precisam utilizar o host de bastião para acessarem um serviço. Um host desse tipo não precisa de qualquer autenticação nem armazena qualquer dado confidencial da empresa.
Um host com dual-homing se baseia em um servidor que tem no mínimo duas interfaces de rede. O host funciona como um roteador entre a rede e as interfaces a que está anexado. Para implementar esse tipo de firewall, a função de roteamento é desabilitada. Por isso, um pacote IP de uma rede (por exemplo, da Internet) não é roteado diretamente para a outra rede (por exemplo, para a intranet). Os sistemas dentro e fora do firewall podem se comunicar com o host com dual-homing, mas não podem se comunicar diretamente entre si.
Um host com dual-homing bloqueia o tráfego direto entre a rede privada (protegida) e a Internet. A Figura 1-2 mostra um exemplo de uma configuração em que um roteador da WAN fornece conectividade geral da WAN, filtragem de pacotes e acesso ao servidor BorderManager. Os usuários de redes privadas podem acessar a Internet usando o recurso Serviços de Proxy e o Gateway IP da Novell, que estão sendo executados no servidor BorderManager.
O roteador permite o tráfego somente para o servidor BorderManager e proveniente dele. A violação é limitada a outros hosts que podem ser acessados da Internet, embora qualquer acesso ilegal comprometa severamente a segurança.
Figura 1-2.
Firewall host com dual-homing
Um host triado usa uma combinação de um host de bastião e um roteador de triagem, como mostra a Figura 1-3. O roteador de triagem aumenta a segurança ao oferecer acesso à Internet para negar ou permitir determinado tráfego proveniente do host de bastião. É a primeira parada para o tráfego, que poderá continuar somente se o roteador de triagem deixá-lo passar.
Para proporcionar segurança adicional, você poderia configurar um host de bastião para cada tipo de serviço: HTTP, FTP e e-mail. O roteador de triagem enviará o tráfego correspondente para o host de bastião apropriado.
Neste exemplo, o servidor BorderManager e o roteador da WAN podem ser acessados a partir da Internet. Além disso, o servidor BorderManager funciona como um roteador de triagem na rede privada. Com o NAT e a filtragem de pacotes, o servidor BorderManager pode ser configurado para bloquear o tráfego em portas específicas e somente um número específico de serviços pode se comunicar com ele.
Esse tipo de firewall é bastante seguro porque o risco de segurança limita-se ao servidor BorderManager.
Figura 1-3.
Firewall host triado
A sub-rede triada é uma variação de um host triado. Em um ambiente de sub-redes triadas, o host de bastião é colocado na sua própria sub-rede. Para isso, são usados dois roteadores de triagem: um entre a sub-rede e a rede privada (com o host de bastião) e outro entre a sub-rede e a Internet. O primeiro roteador de triagem entre a rede privada e a sub-rede triada impede que todos os serviços cruzem a sub-rede. A sub-rede triada aceita somente serviços especificados. Um exemplo de firewall de sub-rede triada é mostrado na Figura 1-4.
Nessa configuração, o servidor BorderManager é usado como um servidor proxy. Tanto o roteamento como o reencaminhamento IP estão desabilitados para impedir qualquer acesso direto entre a rede privada e a Internet pública.
Figura 1-4.
Firewall sub-rede triada
IMPORTANTE: Embora um firewall se concentre na restrição e na utilização dos serviços entre redes, para obter uma diretiva de acesso de segurança completa, considere todos os demais acessos a redes externas, inclusive linhas de discagem e conexões SLIP/PPP.
Um host com tri-homing combina elementos de um roteador de triagem e de um host triado, superando, assim, as limitações de ambos. A segurança é centralizada nos roteadores de triagem usando interfaces para a Internet, a intranet e as sub-redes que contêm os hosts de bastião e os servidores de aplicativos. Um exemplo de host com tri-homing é mostrado na Figura 1-5.
Figura 1-5.
Host com tri-homing
As tecnologias que criam um serviço de firewall incluem filtragem de pacotes, NAT, gateways no nível do circuito, proxies de aplicativos e VPNs. A segurança e a eficiência dessas tecnologias e serviços varia, dependendo de sua eficácia e sofisticação.
A filtragem de pacotes é o método básico usado para proteger a fronteira da intranet. Os filtros de pacotes funcionam na camada Rede do modelo OSI. A limitação da filtragem de pacotes consiste na impossibilidade de distinguir nomes de usuários.
Os filtros de pacotes filtram dados com base no tipo do serviço, no número da porta, no número da interface, no endereço de origem e no endereço de destino, entre outros critérios. Por exemplo, um filtro de pacotes pode permitir ou negar divulgações de serviços em uma interface. Você pode usar filtros de entrada e de saída para definir quais informações entram e saem da intranet.
O NAT (Network Address Translation) mapeia endereços IP privados para endereços IP públicos. O NAT pode fazer esse mapeamento de forma dinâmica ou estática. Uma alternativa para o NAT é um gateway no nível do circuito.
Um gateway no nível do circuito atua na camada de Sessão do modelo OSI, o que significa que um volume ainda maior de informações é necessário para que os pacotes sejam permitidos ou negados. O acesso é determinado com base no endereço, no nome de domínio do DNS ou no nome de usuário do NDS. Precisa ser instalado um software cliente especial na estação de trabalho. Os gateways no nível do circuito podem fazer um bridge entre protocolos diferentes de rede (por exemplo, de IPX para IP).
Seu nome de usuário é verificado e o acesso é concedido antes de a conexão ao roteador ser estabelecida. Compare isso com o NAT, onde somente o endereço IP de origem privado é usado para obter acesso. Mais uma vez, a performance do NAT é maior do que a performance do gateway no nível do circuito. No entanto, os gateways no nível do circuito são mais seguros.
Em um gateway no nível do circuito, após um pipe virtual ser estabelecido entre o cliente e o host, qualquer aplicativo pode ser usado através da conexão. Isso acontece porque os gateways no nível do circuito não podem determinar o conteúdo no nível do aplicativo dos pacotes que estão sendo enviados entre o cliente e o host durante uma transmissão. Um proxy no nível do aplicativo funciona como um servidor proxy para interceptar informações que estão passando por um gateway, impedindo a comunicação direta entre o cliente e o host.
Um proxy de aplicativo é específico de um aplicativo, por exemplo, um proxy FTP ou SMTP. Ele aceita somente pacotes que sejam gerados por protocolos que o proxy possa copiar, reencaminhar e filtrar.
As VPNs (Virtual Private Networks) permitem que dois hosts troquem dados usando um canal seguro. O fluxo de dados é criptografado para maior segurança. Uma VPN pode ser configurada como uma conexão entre dois ou entre vários pontos finais. Você pode conectar dois escritórios através de uma conexão à Internet ou conectar vários escritórios para criar uma rede privada segura. Os clientes VPN remotos também são suportados.
As seções anteriores descrevem os firewalls e os serviços de firewall que estão sendo implementados no setor em geral. Esta seção descreve os serviços de firewall fornecidos pelo BorderManager e explica como você pode realmente usar o BorderManager como parte de uma solução abrangente e versátil para sua diretiva de segurança.
Os serviços de firewall do BorderManager proporcionam maior segurança através de três níveis de proteção por firewall, incluindo filtragem de pacotes (firewall de Nível I), gateways no nível do circuito (firewall de Nível II) e serviços de proxy de aplicativo (firewall de Nível III). Além disso, os serviços do NAT do BorderManager podem permitir que endereços IP da intranet não registrados se conectem à Internet e, ao mesmo tempo, evitar que pessoas externas vejam esses endereços. Os serviços da VPN do BorderManager proporcionam conexões seguras e criptografadas através da Internet, tornando desnecessárias as linhas alugadas de custo elevado.
Um firewall pode conter vários componentes. O BorderManager fornece uma solução abrangente de firewall que inclui os seguintes serviços:
IMPORTANTE: Para usar o BorderManager visando proteger a fronteira da rede, especifique um endereço IP público. Os endereços IP públicos especificam interfaces de servidor para uma rede pública, em geral para a Internet. As interfaces de redes públicas não são seguras. Os endereços IP privados especificam interfaces de servidor para uma rede privada ou uma intranet.
Os filtros de pacotes oferecem segurança no nível da rede no roteador permitindo ou negando pacotes com base em um conjunto predefinido de regras. O BorderManager suporta filtros RIP (Routing Information Protocol) e filtros de reencaminhamento de pacotes para controlar o serviço e rotear informações para os suites de protocolos comuns, inclusive o IPX e o TCP/IP.
Um roteador de filtragem de pacotes, por exemplo, pode filtrar pacotes IP com base no endereço IP de origem ou de destino e no número da porta TCP/UDP e pode filtrar com base nas interfaces de origem e de destino. Os filtros também podem bloquear as conexões de/para hosts ou redes específicas e para portas específicas.
Também é possível filtrar protocolos e serviços específicos. Por exemplo, os serviços X Windows System*, RPC e rlogin precisam ser bloqueados porque podem representar uma ameaça clara para a segurança corporativa. Consulte "Visão geral e planejamento da filtragem de pacotes" para obter maiores informações sobre filtros de pacotes.
O BorderManager é fornecido com dois gateways no nível do circuito --- IPX/IP e IP/IP --- e um serviço SOCKS. Juntos, esses serviços são denominados Gateway IP da Novell. O Gateway IP da Novell fornece um formulário de conversão de endereços para adicionar uma camada extra de segurança. O gateway monitora o tráfego entre uma intranet e a Internet.
O Gateway IP da Novell fornece segurança no nível do circuito, ativando os clientes IPX e IP na rede local para acessar a Internet sem precisar atribuir endereços IP únicos globalmente a cada sistema local. Se um endereço único já tiver sido atribuído a cada cliente, o Gateway IP da Novell permite que você oculte os endereços IP da sua rede local da Internet.
O Gateway IP da Novell também usa o software e o controle de acesso do NDS para gerenciar a conectividade com a Internet. O controle de acesso baseado no NDS pode ser usado para restringir o acesso a determinados arquivos na Internet. A autenticação pode ser baseada no tipo de serviço e no horário do dia. O usuário pode ser autenticado no nível do container, do grupo, do usuário ou do servidor.
Para usar o Gateway IP da Novell, seus clientes precisam estar executando a versão mais recente do software Novell ClientTM ou um aplicativo SOCKS 4 ou 5 e o serviço de gateway precisa estar habilitado em cada estação de trabalho. Observe que os aplicativos do Windows que não usam o WinSock não conseguem utilizar o Gateway IP da Novell.
Para obter informações detalhadas sobre o Gateway IP da Novell, consulte o "Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation)".
O NAT oferece várias vantagens em relação ao Gateway IP da Novell: ele não exige um software cliente especial e pode ser usado por hosts de qualquer plataforma que utilizem o gateway como uma rota para a Internet. O NAT habilita qualquer host IP na rede local para acessar a Internet sem precisar designar endereços IP únicos globalmente a cada sistema.
O BorderManager oferece as conversões de endereços de rede IP dinâmica e estática. Para a conversão de endereços IP estática, as tabelas são definidas com conjuntos de endereços IP públicos. Elas são, então, usadas para mapear os endereços de origem dos pacotes que estão sendo enviados através do firewall para os respectivos endereços públicos.
O NAT também funciona como um filtro, permitindo apenas determinadas conexões externas e internas. O tipo de filtragem que ocorre é determinado pelo fato de o NAT estar configurado para operar no modo dinâmico ou no modo estático.
Para obter informações detalhadas sobre o NAT, consulte o "Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation)".
O recurso Serviços de Proxy oferece segurança no nível do aplicativo ao fornecer proxies de aplicativos que reencaminham e filtram conexões para serviços como HTTP, Gopher, FTP, SMTP, RealAudio* e DNS. Em geral, o recurso Serviços de Proxy aceita serviços somente para os quais existem proxies. Por exemplo, se um gateway tiver um proxy para FTP, então somente o FTP será aceito na sub-rede protegida; todos os demais serviços ficarão bloqueados.
O proxy HTTP melhora a performance ao armazenar localmente no cache as informações da Internet solicitadas com freqüência e otimizar a utilização da largura de banda WAN. O cliente (browser) faz um pedido diretamente a um proxy, que localiza o objeto em seu cache e retorna o objeto ao cliente. Se o objeto não estiver no cache, o proxy recupera-o a partir do servidor Web de origem na Internet, armazena-o no cache e retorna o objeto ao cliente. Dentre as vantagens estão o tráfego reduzido da Internet e a menor carga de pedidos na origem do objeto, o que, por sua vez, diminui os atrasos no retorno de informações ao cliente.
O recurso Serviços de Proxy também permite a filtragem de protocolos. Você pode configurar o firewall para filtrar conexões FTP e negar a utilização do comando put do FTP. Isso pode ser útil se você não quiser que os usuários gravem em um servidor FTP anônimo.
Ao usar o servidor proxy (ou gateway), você pode ocultar os nomes e endereços de sistemas internos --- o gateway é o único nome de host conhecido fora do sistema. Além disso, o tráfego pode ser registrado antes de chegar aos hosts internos. O recurso Serviços de Proxy melhora a segurança, ocultando nomes e endereços de domínio de rede privada e enviando todos os pedidos através de um único gateway.
Para obter informações detalhadas sobre o recurso Serviços de Proxy, consulte o "Visão geral e planejamento do recurso Serviços de Proxy".
O controle de acesso controla o acesso à Internet e à intranet na camada de Aplicação ao permitir ou negar pedidos de acesso feitos através de servidores proxy, Gateways IP da Novell e VPNs (Virtual Private Networks). Ao controlar o acesso na camada Aplicativo, você pode atingir um nível maior de segurança do que com a filtragem de pacotes, que controla o acesso somente na camada Rede. O controle de acesso também pode usar nomes de usuários em vez de endereços IP de origem ou de destino.
O controle de acesso envolve a definição de um conjunto de regras. Cada vez que é feito um pedido de acesso, o servidor BorderManager pesquisa as regras que se aplicam ao pedido. Se nenhuma regra for encontrada, o pedido será negado (o padrão). Você pode criar regras de controle de acesso nos níveis dos objetos País, Organização, Unidade Organizacional e Servidor. As regras podem basear-se em critérios como usuários, grupos, endereços IP ou serviços. Com regras de acesso, você pode controlar o acesso aos serviços da rede e da Web, aos Gateways IP da Novell, aos Serviços de Proxy, às VPNs e aos URLs.
Em geral, a segurança do firewall precisa fornecer os seguintes níveis de controle de acesso:
Para obter informações detalhadas sobre o controle de acesso, consulte o "Visão geral e planejamento do controle de acesso".
O Cyber Patrol oferece a filtragem de conteúdo baseada em categorias. Ele não filtra o conteúdo diretamente, mas sim uma lista dos URLs que se baseiam nos tipos de conteúdo conhecidos. Para obter maiores informações sobre o Cyber Patrol, consulte o "Visão geral e planejamento do controle de acesso".
Uma VPN é usada para transferir de modo seguro informações confidenciais da empresa através de uma rede pouco confiável, como a Internet, encapsulando e criptografando os dados. Na VPN de site para site, apenas os membros da VPN precisam estar executando o software da VPN. Na VPN de cliente para site, o cliente VPN também precisa estar executando o software da VPN.
As VPNs de cliente para site podem usar dois tipos de conexões seguras:
As VPNs site a site podem usar os seguintes tipos de conexões seguras:
As VPNs site a site da intranet e da Internet podem ser implantadas de uma destas duas maneiras:
Para obter informações mais detalhadas sobre as VPNs, consulte o "Visão geral e planejamento da VPN (Virtual Private Network)".