CBPF-NT-004/9-NT-004/99 Leonardo Ferreira Carneiro leo@cbpf.br Nilton Alves Jnior naj@cbpf.br http:/mesonpi.cat.cbpf.

br/naj Resumo Esse trabalho tem como objetivo abordar determinados aspectos relativos a rotead ores e segurana em redes, com alguns exemplos tpicos. Ao longo dessa Nota Tcnica, sero vist os um pequeno histrico sobre a evoluo dos sistemas de computao, os conceitos de roteadores, firewalls, access lists e segurana em redes. Dessa forma, pretendemos oferecer um a primeira viso respeito desses assuntos. Palavras-chave: Roteador; Segurana em Redes; Comandos Access List e Access Group. Roteadores e Segurana em Redes 22/12/99 1/1

CBPF-NT-004/99 -NT-004/99 2/2 22/12/99 Roteadores e Segurana em Redes

CBPF-NT-004/99 -NT-004/99 ndice RESUMO _____________________________________________________________________ 1 PALAVRAS-CHAVE:_____________________________________________________________ 1 NDICE _______________________________________________________________________ 3 1. HISTRICO ________________________________________________________________ 4 2. ROTEADORES ______________________________________________________________ 5 2.1. ENDEREOS IP E REDES TCP/IP _______________________________________________ 6 2.1.1. Endereamento IP ______________________________________________________ 6 2.1.2. Redes TCP/IP __________________________________________________________ 7 2.2. ROTEAMENTO NA INTERNET __________________________________________________ 7 2.3. DETERMINAO DO ENDEREO FSICO __________________________________________ 8 3. FIREWALL__________________________________________________________________ 8 3.1. FILTROS DE PACOTES _______________________________________________________ 10 3.1.1. IP Spoofing___________________________________________________________ 10 3.1.2. Ataque Source Routing _________________________________________________ 1 0 3.1.3. Ataque Tiny Fragment __________________________________________________ 1 0 3.2. GATEWAYS DE APLICAO ___________________________________________________ 11 3.3. GATEWAYS DE CIRCUITO _____________________________________________________ 11 3.4. SERVIDORES PROXY ________________________________________________________ 1 2 3.5. COMENTRIOS FINAIS ______________________________________________________ 12 4. ACCESS LISTS _____________________________________________________________ 12 4.1. PARA QUE USAR ACCESS LISTS ? ______________________________________________ _ 13 4.2. O QUE SO ACCESS LISTS ? ___________________________________________________ 13

4.3. COMANDOS DAS ACCESS LISTS ________________________________________________ 13 4.4. IDENTIFICAO DE ACCESS LISTS ______________________________________________ 14 4.5. CONFIGURAO DE IP STANDARD ACCESS LISTS___________________________________ 15 4.6. CONFIGURAO DE IP EXTENDED ACCESS LISTS __________________________________ 16 4.7. EXEMPLOS DE ACCESS LISTS __________________________________________________ 17 4.7.1. Standard Access Lists __________________________________________________ 17 4.7.2. Extended Access Lists __________________________________________________ 17 5. SEGURANA EM REDES DE COMPUTADORES ______________________________ 18 5.1. POLTICA DE SEGURANA ___________________________________________________ 18 5.2. MECANISMOS DE SEGURANA________________________________________________ 19 5.2.1. Criptografia __________________________________________________________ 1 9 5.2.2. Integridade de Dados___________________________________________________ 1 9 5.2.3. Controle de Acesso ____________________________________________________ 2 0 5.2.4. Controle de roteamento_________________________________________________ 2 0 5.2.5. Comentrios finais_____________________________________________________ 20 6. CONCLUSO ______________________________________________________________ 20 REFERNCIAS _______________________________________________________________ 22 Roteadores e Segurana em Redes 22/12/99 3/3

CBPF-NT-004/99 -NT-004/99 Roteadores e Segurana em Redes 1. Histrico A comunicao sempre foi uma das maiores necessidades da sociedade humana. De acordo com o crescimento das civilizaes, que ocupavam reas cada vez mais dispersas geograficamente, a comunicao a longa distncia se tornava uma necessidade cada vez m aior e um desafio. Formas de comunicao atravs de sinais de fumaa ou pombos-correio foram as ma neiras encontradas por nossos ancestrais para tentar aproximar as comunidades distantes . Ao inventar o telgrafo em 1838, Samuel F. B. Morse inaugurou uma nova poca nas comunicaes. Nos primeiros telgrafos utilizados no sculo XIX, mensagens eram codifica das em cadeias de smbolos binrios (cdigo Morse) e ento eram transmitidas manualmente por um operador atravs de um dispositivo gerador de pulsos eltricos. A partir da, a comuni cao atravs de sinais eltricos atravessou uma grande evoluo, dando origem maior parte dos grand es sistemas de comunicao encontrados atualmente, como o telefone, o rdio e a televiso. Essa evoluo no tratamento de informaes no aconteceu somente na rea de comunicao. Equipamentos para processamento e armazenamento de informaes tambm foram alvo de grandes investimentos ao longo do nosso desenvolvimento. A introduo de red es de computadores na dcada de cinqenta foi, provavelmente, o maior avano do sculo neste s entido. comunicao e processamento de informaes veio A unio destas duas tecnologias revolucionar o mundo de hoje, abrindo as fronteiras com novas formas de comunicao, e permitindo assim maior eficcia dos sistemas computacionais. Tais sistemas sofrera m uma grande evoluo desde o seu incio, no Ps-Guerra, at os dias de hoje. Embora a indstria de computadores seja jovem quando comparada com indstrias como a automotiva e a de transportes areos, os computadores tem feito um fantstico progresso em um curto espao de tempo. Durante as suas duas primeiras dcadas de existncia, os sis temas de computao eram altamente centralizados, em geral, em uma nica sala grande, sendo o computador uma mquina grande e complexa, operada por pessoas altamente especializ adas. A noo de que dentro de vinte anos computadores igualmente poderosos, consideravelmen te menores, pudessem ser produzidos em massa era considerada invivel. No entanto, nos anos setenta, a introduo dos PC s revolucionou esses sistemas de computao, substituindo o modelo de um nico computador servindo a todas as necessida des computacionais de uma organizao por outro no qual um grande nmero de computadores separados, mas interconectados, executam essa tarefa. Atravs dessa distribuio de po der computacional, chegou-se ento as arquiteturas de redes de computadores que encont

ramos hoje em dia. Contudo, uma nica rede local est sujeita a certos limites, como por exemplo o nmero de estaes que podem ser conectadas a ela, a velocidade na transmisso dos dados entr e as estaes ou ainda quanto trfego a rede pode suportar. Para superar essas limitaes, surg iram, a partir dos anos oitenta, as chamadas internetworks. Internetworking a cincia de i nterligar LANs individuais para criar WANs, e de conectar WANs para criar WANs ainda maiores. Uma LAN (Local Area Network) uma rede de computadores que abrange uma rea relativamente p equena, 4/4 22/12/99 Roteadores e Segurana em Redes

CBPF-NT-004/99 -NT-004/99 enquanto uma WAN (Wide Area Network) uma rede que ocupa uma maior rea geogrfica, consistindo geralmente de duas ou mais LAN s. Essas ligaes inter-redes so executadas por dispositivos especficos, como por exemplo os roteadores, que so o assunto do prximo item [1][2][18]. 2. Roteadores Um roteador um dispositivo que prov a comunicao entre duas ou mais LAN s, gerencia o trfego de uma rede local e controla o acesso aos seus dados, de acordo com as determinaes do administrador da rede. O roteador pode ser uma mquina dedicada, send o um equipamento de rede especfico para funes de roteamento; ou pode ser tambm um softwar e instalado em um computador. Consideremos por exemplo um grupo de dispositivos de rede, como servidores, PC s e impressoras, formando uma rede local a qual chamamos de LAN 1, como mostrado na figura 1. Consideremos tambm outra rede local, similar a primeira, a qual chamamos de LAN 2 . A interconexo entre elas, que permite a troca de dados e o compartilhamento dos seu s recursos e servios, feita pelo roteador. Esse esquema caracteriza o uso de uma mquina dedicad a. Figura 1: O roteador permite o trfego de informaes e o compartilhamento de servios e recursos entre redes diferentes. Consideremos agora a figura mostrada a seguir. Nela est representado o caso em qu e o roteador um software instalado em um computador. Como podemos observar, o comput ador, atravs de um software especfico, que gerencia o trfego de dados entres as diferente s redes mostradas. Esse esquema representa a topologia de rede inicialmente utilizada no CBPF at 1996, quando um servidor Novell exercia a funo de um roteador, atravs de um software de r oteamento fabricado pela prpria Novell. O roteador opera na camada de rede, a terceira das sete camadas do modelo de referncia ISO OSI. Esse modelo de rede foi criado pela ISO (International Organiz ation of Standardization) no incio dos anos oitenta, tendo sido o primeiro passo para a pa dronizao internacional dos diversos protocolos de comunicao existentes atualmente [2][5]. P ara aqueles que estiverem interessados, maiores informaes respeito do modelo OSI podem ser enc ontradas na Nota Tcnica intitulada Redes de Computadores , NT 008/98, de Outubro de 1998. Quanto ao funcionamento de um roteador, temos que quando pacotes (partes da mensagem que transmitida) so transmitidos de um host (qualquer dispositivo de uma

rede) para outro, esses equipamentos usam cabealhos (headers) e uma tabela de roteamento par a determinar Roteadores e Segurana em Redes 22/12/99 5/5

CBPF-NT-004/99 -NT-004/99 por qual caminho esses pacotes iro; os roteadores tambm usam o protocolo ICMP (Int ernet Control Message Protocol) para comunicarem-se entre si e configurarem a melhor r ota entre dois hosts quaisquer. O cabealho, em vrias disciplinas da cincia da computao, definido com o uma unidade de informao que antecede o objeto de dados de um pacote; ou seja, no cabeal ho que est contida a informao sobre o destino do pacote utilizada pelo roteador. J em relao a o ICMP, temos que ele uma extenso do protocolo IP (Internet Protocol), sendo definido pel a RFC 792. O ICMP suporta pacotes que contenham mensagens de erro, de controle e de informao. O comando ping, por exemplo, usa esse protocolo para testar uma conexo Internet [5][7][8]. Figura 2: Um computador, atravs de software especfico, pode gerenciar o trfego de dados entre redes diferentes, funcionando como um roteador. Por ltimo, temos que uma pequena filtragem de dados feita atravs de roteadores. Contudo, importante ressaltar que os roteadores no se preocupam com o contedo dos pacotes com que eles lidam, verificando apenas o cabealho de cada mensagem, podendo ou no trat-la de forma diferenciada [5]. 2.1. Endereos IP e Redes TCP/IP Ao longo dessa Nota Tcnica, os termos endereo IP e rede TCP/IP sero amplamente utilizados. Devido a isso, esse item ser dedicado exclusivamente a esses dois ass untos, de forma oferecer uma melhor compreenso dos prximos itens. 2.1.1. Endereamento IP Um endereo IP definido como sendo uma identificao para um computador ou um dispositivo qualquer de uma rede TCP/IP, que ser explicada no prximo item. Esses tipos de redes roteam mensagens baseadas no endereo IP de destino. O format o de um endereo IP o de um endereo numrico de 32 bits escritos como 4 nmeros, tambm conhecidos como octetos, que so separados por pontos, como por exemplo 152.84.253 .47. Cada um desses 4 octetos representam campos de 8 bits. 6/6 22/12/99 Roteadores e Segurana em Redes

CBPF-NT-004/99 -NT-004/99 Com uma rede isolada, pode-se atribuir um endereo IP qualquer, respeitando o fato de que cada endereo deve ser nico. Entretanto, o registro de uma rede privada na Inte rnet requer endereos IP registrados, chamados endereos da Internet, para evitar possveis duplic aes. Os 4 nmeros ou octetos de um endereo IP so usados de maneiras diferentes para identificar uma rede particular e um host qualquer nessa rede. Classificam-se en dereos da Internet registrados em 4 classes, listadas abaixo: Classe A: Suporta 16 milhes de hosts em cada uma das suas 127 redes. Nessa classe de rede, temos que se o primeiro bit do seu endereo IP for 0, ento os prximos 7 bits s ero destinados ao nmero de rede e os 24 bits (3 octetos) restantes, aos nmeros de disp ositivo. Classe B: Suporta 65.000 hosts em cada uma das suas 16.000 redes. Aqui, temos qu e se os 2 primeiros bits forem 1 e 0, respectivamente, ento os prximos 14 bits sero dest inados ao nmero da rede e os 16 bits (2 octetos) restantes aos nmeros de dispositivos. Classe C: Suporta 254 hosts em cada um dos seus 2 milhes de redes. Se os seus 3 primeiros bits forem 1, 1 e 0, respectivamente, ento os prximos 21 bits sero destin ados ao nmero de rede e os 8 bits (1 octeto) restantes aos nmeros de dispositivos. Classe D: Se os quatro primeiros bits forem 1, 1, 1 e 0, respectivamente, ento o valor do primeiro octeto pode variar entre 224 e 239 e dizemos que esse nmero um endereo multicast. Os prximos 28 bits compem um nmero de identificao de grupo para um especfico grupo multicast. Podemos concluir ento que um endereo IP multicast um endereo destinado a um ou mais hosts ou dispositivos, ao contrrio dos endereos classe A, B e C, que especifi cam o endereo de um host ou dispositivo individual [2]. 2.1.2. Redes TCP/IP Uma rede de computadores chamada de rede TCP/IP (Transmission Control Protocol / Internet Protocol) quando a sua arquitetura baseada nesse conjunto de protocol os de comunicao. Esse tipo de rede baseia-se principalmente em: um servio de transporte o rientado conexo, fornecido pelo protocolo TCP, e em um servio de rede no-orientado conexo, fornecido pelo protocolo IP. As informaes enviadas pela Internet so dependentes do TCP/IP, fazendo com que ele seja utilizado como um protocolo primrio de rede na Internet [1][2]. O roteamento de pacotes feito entre redes TCP/IP na Internet o assunto do prximo it em. 2.2. Roteamento na Internet O roteamento a tcnica atravs da qual os dados encontram o seu caminho de um host

para outro. No contexto da Internet, existem trs aspectos principais de roteament o: Determinao do endereo fsico. Seleo de roteadores (gateways) inter-redes. Endereos simblicos e numricos. O primeiro desses trs aspectos necessrio quando dados de uma rede TCP/IP esto para ser transmitidos por um computador. necessrio que esses dados sejam encapsul ados com qualquer formato de frame (pacote) que estiver em uso na rede local qual o compu tador est Roteadores e Segurana em Redes 22/12/99 7/7

CBPF-NT-004/99 -NT-004/99 ligado. Esse encapsulamento requer a incluso de um endereo de rede local ou endereo fsico no frame. O segundo aspecto necessrio porque a Internet consiste de um nmero de redes locais interconectadas por um ou mais roteadores. Tais roteadores, tambm conhecidos como gateways, algumas vezes tem conexes fsicas ou portas de acesso mais de uma rede. A identific ao do roteador e porta apropriados para onde um pacote IP particular deve ser enviado chamada de roteamento, que tambm envolve a troca de informaes entre os roteadores de forma pad ronizada.

O terceiro aspecto envolve a traduo do endereo de rede. Essa traduo feita por um sistema conhecido como DNS (Domain Name Service) [6]. O DNS um protocolo que tra duz nomes de domnios em endereos IP. Sendo os nomes de domnio alfabticos, a sua memorizao mais fcil. A Internet, contudo, baseia-se em endereos IP. Por essa razo, toda a vez que se usa um nome de domnio, o DNS deve traduzir esse nome em um endereo IP correspondente. Por exemplo, o nome de domnio www.cbpf.br deve ser traduzido para 152.84.253.64 [9]. 2.3. Determinao do Endereo Fsico Se um computador quer transmitir dados atravs de uma rede TCP/IP, necessrio encapsul-los em uma forma apropriada para o meio fsico da rede a qual o computador est ligado. Para que a transmisso desse frame seja completada, preciso determinar o endereo fsi co do computador de destino, que pode ser obtido usando-se uma tabela, configurada com o um arquivo que lido pela memria do computador toda vez que este for inicializado, que relaci one os endereos IP dos computadores conectados rede com os seus respectivos endereos fsico s. Todos os computadores da rede contm essa tabela. Na prtica, entretanto, os computadores criam essa tabela atravs da utilizao de um protocolo de comunicao conhecido como ARP (Address Resolution Protocol). Esse prot ocolo, definido pela RFC 826, usado para associar endereos IP com endereos fsicos (endereos de MAC). A tabela criada e atualizada por esse protocolo, que associa esses dois ti pos de endereo, chamada de ARP cache. Quando um host quer comunicar-se com outro, mas no tem o seu endereo fsico, ele envia uma mensagem ARP, encapsulada em um frame, contendo os endereos IP e fsico d e origem na rede por broadcast; isto , essa mensagem transmitida para todos os computadore s da rede. Os computadores ento armazenam esse endereo fsico de origem, e o host de destino respo nde a esse broadcast enviando o seu endereo fsico para o host que originalmente transmitiu o pacote ARP. O

ARP cache criado a partir do armazenamento dos MAC s por parte dos hosts da rede, sendo que os seus registros expiram aps um determinado perodo de tempo, geralmente alguns mi nutos. 3. Firewall Um firewall definido como um sistema designado para prevenir acessos noautorizados redes de computadores. Os firewalls podem ser implementados tanto em hardware quanto em software, ou ainda em uma combinao de ambos. Esse sistema utilizado freqentemente em redes privadas conectadas com a Internet, especialmente as intra nets, para evitar que usurios no-autorizados tenham acesso elas. Esse controle feito atravs da checag em das mensagens que entram e saem da intranet. Essas mensagens passam pelo firewall, q ue as examina, 8/8 22/12/99 Roteadores e Segurana em Redes

CBPF-NT-004/99 -NT-004/99 uma a uma, e bloqueia aquelas que no obedecem aos critrios de segurana especificado s pelo administrador da rede [10]. Como exemplo, consideremos a figura 3 mostrada abaixo. O computador externo LAN pode conectar-se a qualquer um dos seus dispositivos atravs do roteador, no ha vendo a princpio qualquer tipo de controle de acesso s mquinas e s informaes armazenadas nessa rede. Dessa forma, pessoas no-autorizadas podem ter acesso a esses dados, podendo ento llos, modific-los ou at mesmo apag-los remotamente. Figura 3: O roteador permite o trfego de informaes entre computadores externos LAN e os seus dispositivos, a princpio sem qualquer tipo de segurana. Para evitar isso, utiliza-se um firewall. Com esse sistema, os dados transmitido s pelo computador externo continuam sendo trafegados pela rede, desde que sejam permiti dos pelos filtros do firewall. Se no forem, os dados so bloqueados pelo firewall, que envia ento uma mensagem ao computador de origem dizendo que a transmisso no foi completada, protegendo ass im a LAN de eventuais ataques, como mostram as figuras 4 e 5. Figura 4: Com a implementao do firewall, os dados continuam a ser transmitidos, de sde que sejam permitidos. Figura 5: Caso a transmisso dos dados seja negada pelo firewall, uma mensagem tra nsmitida para o computador externo LAN avisando que a transmisso no foi completada. Roteadores e Segurana em Redes 22/12/99 9/9

CBPF-NT-004/99 -NT-004/99 Existem diversos tipos de tcnicas de firewalls, que sero discutidas em detalhes na s sees a seguir. 3.1. Filtros de Pacotes Nessa tcnica de firewall, temos que filtros (linhas de comando configuradas no roteador) checam cada pacote que entre e sai da rede local, aceitando-os ou bloq ueando-os de acordo com as regras definidas pelo administrador da rede. Esse controle de aces so feito atravs da anlise dos endereos IP de origem e destino de cada pacote e das portas UDP e TC P utilizadas pela rede. O administrador elabora uma lista dos dispositivos e servios oferecido s que esto autorizados a transmitir dados nos sentidos de transmisso possveis. Essa lista ento usada para filtrar os pacotes que tentam atravessar o firewall. Um exemplo de poltica de fil tragem de pacotes seria: permitir o trfego full-duplex de pacotes carregando mensagens de SMTP e DN S, trfego Telnet s para pacotes saindo da rede e bloquear todos os outros tipos de trfego. A filtragem de pacotes uma tcnica de firewall bastante efetiva e transparente par a os usurios, mas de difcil configurao. Alm disso, a abordagem baseada em filtragem no forn ece uma granularidade muito fina de controle de acesso, uma vez que o acesso control ado com base nas mquinas de origem e de destino dos pacotes, e vulnervel a certos tipos de ataq ues, que esto listados abaixo [1][10]: 3.1.1. IP Spoofing Esse ataque consiste no ganho de acesso no-autorizado a computadores de uma rede privada. Mensagens so enviadas para o computador que ser invadido com endereos IP q ue indicam que essas mensagens esto vindo de um host interno da rede. Para isso, dev e-se primeiramente usar uma variedade de tcnicas que permitam achar um endereo IP de um host da rede, e ento modificar os cabealhos dos pacotes de forma que eles paream estar send o transmitidos por esse host. Assim, espera-se que o uso desse endereo IP falso per mita o acesso sistemas que tenham uma poltica de segurana simples, baseada somente na checagem d os endereos de destino, onde os pacotes enviados por hosts internos da rede so aceito s enquanto pacotes enviados por qualquer outro host so descartados. O IP spoofing pode ser e vitado descartando-se pacotes com endereos de origem internos que venham de uma das sadas de uma interface do roteador da rede [13][14]. 3.1.2. Ataque Source Routing Em um ataque do tipo source routing, a estao de origem especifica a rota que um pacote deve seguir ao ser transmitido pela Internet. Esse tipo de ataque designa

do para fugir de medidas de segurana e assim fazer com que o pacote siga uma rota no esperada at o s eu destino. Um ataque source routing pode ser evitado simplesmente descartando-se todos os p acotes que contenham em seus cabealhos a opo source route [13]. 3.1.3. Ataque Tiny Fragment Para esse tipo de ataque, utiliza-se o aspecto de fragmentao de pacotes IP s para cr iar fragmentos extremamente pequenos e assim forar o cabealho TCP de informao a ser um fragmento de pacote separado. O ataque tiny fragment designado para evitar as re gras de filtragem 10/10 22/12/99 Roteadores e Segurana em Redes

CBPF-NT-004/99 -NT-004/99 da poltica de segurana da rede; espera-se que a filtragem implementada no roteador examine somente o primeiro fragmento do pacote transmitido, permitindo assim a passagem dos restantes. Esse ataque pode ser evitado descartando-se aqueles pacotes em que o tipo de pro tocolo o TCP e o parmetro IP FragmentOffset, especificado no cabealho, igual 1 [13]. 3.2. Gateways de aplicao Firewalls na Internet so muitas vezes considerados como gateways de segurana que controlam o acesso a uma rede. Na linguagem dos firewalls, um gateway um disposi tivo que oferece servios de transmisso de dados entre duas redes. Um firewall pode ser mais do que um filtro no roteador, como o gateway controlado. Nesse caso, o trfego passa pelos f iltros do gateway ao invs de ser transmitido diretamente na rede. Aps a checagem dos dados, o gateway ento os transmite para uma outra rede ou para o gateway que estiver conectado ela [12]. O gateway de aplicao atua na camada de aplicao. Esse tipo de firewall aplica mecanismos de segurana em aplicaes especficas, como por exemplo servidores FTP e servidores Telnet. Devido a sua grande flexibilidade, o gateway de aplicao pode fo rnecer um maior grau de proteo do que o filtro de pacote. Contudo, apesar de eficiente, essa tcnica pode impor uma degradao na performance da rede. Para melhor compreender essa tcnica de firewall, consideremos o seguinte exemplo: um gateway FTP configurado para restringir as operaes de transferncia de arquivos q ue estejam localizados no bastion host (gateway do firewall que pode ser acessado a partir da rede externa). Dessa forma, os usurios externos s podem ter acesso aos arquivos disponi bilizados nessa mquina, o bastion host. Alm disso, a aplicao FTP original pode ser modificada para limitar a transferncia de arquivos da rede interna para a rede externa a usurios a utorizados, e ainda com limites para o volume de informao que pode ser transmitida, dificultando assim ataques externos [1][10]. A figura 6 mostra os componentes que compem esse tipo d e firewall. Figura 6: Componentes de um gateway de aplicao. 3.3. Gateways de circuito Esse firewall aplica mecanismos de segurana quando uma conexo TCP ou UDP estabelecida. Ele atua como intermedirio de conexes FTP, funcionando como um TCP modificado. Para permitir a transmisso dos dados atravs desse tipo de firewall, o usurio de origem conecta-se a uma porta TCP no gateway, que por sua vez conecta-se, usando outra conexo TCP, ao usurio de destino. Um circuito ento formado por uma conexo TCP na rede inte

rna e outra na rede externa, estando ambas associadas pelo gateway de circuito. O proc esso que implementa esse tipo de gateway atua repassando bytes de uma conexo para outra, f echando ento o circuito. Para que esse circuito seja estabelecido, o usurio de origem deve faz er uma solicitao ao gateway no firewall, passando a mquina e o servio de destino como parmetros. Com isso, o Roteadores e Segurana em Redes 22/12/99 11/11

CBPF-NT-004/99 -NT-004/99 gateway estabelece o circuito ou, em caso contrrio, retorna um cdigo informando o motivo do no estabelecimento. Uma vez que a conexo tenha sido estabelecida, os pacotes de dado s podem trafegar entre os hosts da rede sem checagens adicionais. importante notar que n ecessrio que o usurio de origem utilize um protocolo simples para comunicar-se com o gateway, se ndo esse protocolo um bom local para implementar, por exemplo, um mecanismo de autenticao [ 1][10]. 3.4. Servidores Proxy um servidor que implementado entre a aplicao de um cliente (arquitetura cliente/servidor), como por exemplo um navegador Web, e um servidor real. O serv idor proxy intercepta todos os pedidos requeridos ao servidor real e verifica se ele mesmo pode executar esses pedidos. Se no for possvel, ele ento transmite o pedido para o servidor real. O ser vidor proxy tem dois propsitos bsicos [15]: Melhoria de Performance: Os servidores proxy podem melhorar sensivelmente a performance de grupos de usurios, uma vez que eles armazenam os resultados de tod os os pedidos feitos pelos usurios ao servidor real durante um determinado perodo de tempo. Cons ideremos por exemplo o caso em que ambos os usurios X e Y de um grupo de usurios qualquer de um a rede acessam a World Wide Web atravs de um servidor proxy. Primeiramente, o usurio X vi sita uma certa pgina Web, que ser chamada aqui de pgina 1. Algum tempo depois, o usurio Y ten ta visitar essa mesma pgina. Ao invs de transmitir o pedido para o servidor Web onde a pgina 1 reside, o que pode ser uma operao que consuma muito tempo, o servidor proxy simple smente retorna a pgina 1 que j foi acessada pelo usurio X. Considerando-se o fato do servi dor proxy estar na maioria das vezes na mesma rede que o usurio, essa operao aqui descrita to rna-se muito mais rpida [15]. Filtragem de Pedidos (Firewall): Os servidores proxy tambm podem ser usados para filtrar os pedidos requeridos ao servidor real da rede. Eles interceptam todas a s mensagens que entram e saem da rede, escondendo assim de forma efetiva os seus endereos. Atravs da utilizao de um servidor desse tipo, uma companhia pode prevenir que os seus empregados te nham acesso a algum grupo especfico de Web sites [10][15]. 3.5. Comentrios finais Na prtica, muitos firewalls usam duas ou mais dessa tcnicas aqui apresentadas simultaneamente. Ainda, temos que, para uma maior segurana, os dados transmitidos pela rede tambm podem ser encriptados. Como exemplo prtico, temos que um firewall pode ser implementado atravs da utilizao de listas de acesso (access lists), assunto do prxim

o item. 4. Access Lists Nesse item ser estudado o conceito de access list, uma ferramenta disponvel em alguns roteadores, como por exemplo o roteador Cisco IOS, que utilizada para gar antir a integridade dos dados que so trafegados e armazenados em uma rede local. Abaixo, segue as razes para o uso das access lists, os seus conceitos bsicos, como funcionam, como so implementadas e alguns exemplos prticos. 12/12 22/12/99 Roteadores e Segurana em Redes

CBPF-NT-004/99 -NT-004/99 4.1. Para que usar Access Lists? Basicamente, o comando access list utilizado para controlar o trfego de dados em uma rede local atravs de testes de pacotes. Essas listas oferecem uma poderosa fe rramenta para o controle da rede: a flexibilidade para filtrar o fluxo de pacotes que so transmit idos pelas entradas e sadas das interfaces do roteador. Esse comando ajuda a proteger as expanses dos re cursos de rede, sem impedir o fluxo da comunicao dos dados, diferenciando o trfego desses dados em categorias que so permitidas ou no. Esse controle na transmisso da informao baseia-se em aspecto s determinados pelo administrador da rede [3]. 4.2. O que so Access Lists? Access lists so linhas de comando que especificam condies de controle determinadas pelo administrador da rede. Baseado nessas determinaes, o roteador lidar com o trfeg o de pacotes de forma diferenciada, de acordo com o tipo de dado que est sendo trafega do. Existem dois tipos bsicos de access lists, que esto listados abaixo: Standard access lists: Standard access lists para IP checam somente o endereo de origem dos pacotes que podem ser roteados. De acordo com o resultado dessa checa gem, o roteador pode permitir ou no a transmisso de um grupo inteiro de protocolos, baseando-se no endereo de rede, sub-rede ou do host. Por exemplo; pacotes chegando atravs da entrada de uma interface do roteador so checados pelos seus endereos. Se a permisso for dada pela access list, o roteador transmite os pacotes atravs da sada da interface que estiver associada a essa acce ss list. Por outro lado, se a permisso para a transmisso no for dada, os pacotes sero desprezados. Extended access lists: Extended access lists checam tanto o endereo de destino qu anto o de origem dos pacotes. Esse tipo de lista tambm pode checar outros tipos de parm etros, como por exemplo protocolos especficos e nmeros de porta. Com isso, os administradores de rede tem maior flexibilidade para descrever qual tipo de filtragem a access list deve faz er. Tem-se que um pacote tem o seu trfego permitido ou no com base na sua origem e no seu destino. A lm disso, temos tambm que as extended access lists controlam o fluxo de pacotes com maior g ranularidade; isto , pode-se permitir por exemplo o trfego de e-mails da entrada de uma interfac e para a sua sada, e ao mesmo tempo proibir o acesso remoto e a transferncia de arquivos entre elas [3]. 4.3. Comandos das Access Lists Na prtica, a implementao e a interpretao das access lists podem ser complicadas. Entretanto, o entendimento dos comandos de configurao dessas listas pode ser simpl ificado reduzindo-os em dois passos bsicos, que esto esquematizados abaixo:

Passo 1: Configurar os parmetros de teste para a linha de comando da access list (que pode ser uma entre vrias linhas de comando que formam a access list). User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list access-list-number {permit | deny} {test conditions} Roteadores e Segurana em Redes 22/12/99 13/13

CBPF-NT-004/99 -NT-004/99 A ltima linha de comando, mostrada no exemplo acima, identifica a access list, qu e geralmente representada por um nmero (termo access-list-number). Esse nmero indica que tipo de access list foi implementada. O termo permit | deny indica como o roteador de ver lidar com os pacotes que sero checados pelos testes de condies, que so especificados pelo ltimo te rmo da linha de comando, o test conditions. Na maioria das vezes, o termo permit signif ica que o pacote tem permisso para trafegar atravs de uma ou mais interfaces do roteador. Passo 2: Abilitar uma interface do roteador para fazer parte do grupo que usa a access list especificada. User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list access-list-number {permit | deny} {test conditions} router(config)#int router interface router(config-if)#{protocol} access-group access-list-number O comando access list usa um comando de interface. Todas as linhas de comando da access list que so identificadas pelo seu nmero so associadas a uma ou mais interfa ces do roteador, que identificada atravs do comando int router interface, onde router in terface indica qual a interface utilizada. Com isso, qualquer pacote de dados que passe pelos t estes de condies da access list tem a permisso de usar qualquer interface que faa parte do access g roup de interfaces [3]. 4.4. Identificao de Access Lists O comando access list pode controlar vrios protocolos em um roteador. A tabela abaixo mostra os tipos de access lists e os seus respectivos intervalos de nmeros de identificao [4]. Tipo de Access List Intervalo do Nmero de Identificao IP standard 1 99 IP extended 100 199 Bridge type-code 200 299 DECnet standard e extended 300 399 XNS standard 400 499 XNS extended 500 599 AppleTalk zone 600 699 Bridge MAC 700 799 14/14 22/12/99 Roteadores e Segurana em Redes

CBPF-NT-004/99 -NT-004/99 IPX standard 800 899 IPX extended 900 999 IPX SAP 1000 1099 Bridge extended 1100 1199 De todos os tipos de access list mostrados na tabela acima, apenas os dois prime iros tipos sero tratados nessa Nota Tcnica. Nos prximos itens, sero vistas as suas respec tivas configuraes. 4.5. Configurao de IP Standard Access Lists User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list access-list-number {permit | deny} source [source-mas k] router(config)#int router interface router(config-if)#ip access-group access-list-number {in | out} O comando access-list cria uma entrada em uma lista standard de filtragem de pac otes. A seguir, encontramos uma tabela com as respectivas descries dos termos que consti tuem esse comando. Comando access list Descrio access-list-number Identifica a lista qual a entrada pertence; um nmero de 1 at 99. permit | deny Indica se a entrada ir permitir ou bloquear o trfego do pacote especificado. source Identifica o endereo IP de origem. source-mask Identifica quais bits do campo de endereo devem ser checados. H um 1 nas posies que indicam bits desprezados, e um 0 em qualquer posio em que o bit deve ser obrigatoriamente checado. O comando ip access-group liga o objeto access list existente sada de uma interfa ce do roteador. Somente um objeto access list por porta, protocolo e direo permitida. Para retirar um objeto access list, primeiramente entre com o comando no accessgroup com todo o seu grupo de parmetros, e depois entre com o comando no access-list co m todo o seu grupo de parmetros [3]. Roteadores e Segurana em Redes 22/12/99 15/15

CBPF-NT-004/99 -NT-004/99 Comando ip access-group Descrio access-list-number Indica o nmero da access list que deve ser ligada a interface desejada. in | out Seleciona se a access list abilitada para a entrada ou sada de uma interface. Se in ou out no forem especificadas, out o padro. 4.6. Configurao de IP Extended Access Lists User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list access-list-number {permit | deny} protocol source so urce-mask destination destination-mask [operator operand] [established] router(config)#int router interface router(config-if)#ip access-group access-list-number {in | out} A seguir, temos as tabelas com as descries dos termos que constituem os comandos usados para esse tipo de access list [3]. Comando access-list Descrio access-list-number Identifica a lista usando um nmero entre 100 e 199 permit | deny Indica se a entrada permite ou bloqueia o endereo especificado. protocol IP, TCP, UDP, ICMP, GRE, IGRP. source e destination Identifica os endereo IP de origem e de destino. source-mask e destination-mask Mscaras. Os 0 s indicam os bits que devem serchecados, enquanto os 1 s indicam os bits que so desprezados. operator e operand lt, gt, eq, neq (less than, greater than, equal, not equal) e um nmero de porta. Comando ip access-group Descrio access-list-number Indica o nmero da access list que deve ser ligada interface desejada. in | out Seleciona se a access list abilitada para a entrada ou sada de uma interface. Se in ou out no forem especificadas , out o padro. 16/16 22/12/99 Roteadores e Segurana em Redes

CBPF-NT-004/99 -NT-004/99 4.7. Exemplos de Access Lists Nesse item, sero mostrados um exemplo prtico da utilizao de uma standard access lists e o de uma extended access list, de forma a mostrar com maior clareza a ut ilidade dessas ferramentas em um ambiente de rede. 4.7.1. Standard Access Lists Exemplo: Bloquear a transmisso de uma rede especfica. Figura 7: Roteador interligando diferentes redes atravs de suas interfaces. User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list 1 permit 152.84.250.0 0.0.0.255 router(config)#access-list 1 permit 0.0.0.0 255.255.255.255 router(config)#int e5/2 router(config-if)#ip access-group 1 Nesse exemplo, a access list est configurada para bloquear o trfego transmitido pe la rede 250 (152.84.250.0) e permitir o trfego transmitido pelas redes 252 e 253 (15 2.84.252.0 e 152.84.253.0), atravs da interface e5/2. 4.7.2. Extended Access Lists Exemplo: Bloquear transmisso por FTP pela interface e5/1 Figura 8: Roteador interligando diferentes redes atravs de suas interfaces. Roteadores e Segurana em Redes 22/12/99 17/17

CBPF-NT-004/9-NT-004/99 User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list 101 deny tcp 152.84.250.0 0.0.0.255 152.84.252.0 0.0. 0.255 eq 21 router(config)#access-list 101 deny tcp 152.84.250.0 0.0.0.255 152.84.252.0 0.0. 0.255 eq 20 router(config)#access-list 101 permit ip 152.84.250.0 0.0.0.255 0.0.0.0 255.255. 255.255 router(config)#int e5/2 router(config-if)#ip access-group 101 Nesse exemplo, a access list bloquea o trfego de pacotes FTP transmitidos pela re de 250 (152.84.250.0), permitindo que o trfego restante dessa rede seja transmitido para todas as outras redes (152.84.252.0 e 152.84.253.0), tudo isso pela interface e5/2. 5. Segurana em Redes de Computadores A segurana da rede local do CBPF, como a segurana de qualquer LAN, est relacionada necessidade de proteo contra acessos no autorizados, manipulao dos dados armazenados na rede, assim como a sua integridade, e utilizao no autorizada de comp utadores ou de seus respectivos dispositivos perifricos. Essa necessidade de proteo deve ser de finida a partir das possveis ameaas e riscos que a rede sofre, alm dos objetivos traados pela instit uio, sendo tudo isso formalizado nos termos de uma poltica de segurana. Dessa forma, procurase evitar que pessoas no-autorizadas tenham acesso a informaes particulares de qualquer usurio da rede. Nos prximos itens, estudaremos um pouco mais sobre poltica de segurana e conheceremos a lguns desses mecanismos aplicados a ambientes de comunicao de dados [1]. 5.1. Poltica de Segurana Uma poltica de segurana definida como sendo um conjunto de que definem como uma empresa ou instituio gerencia e protege mite os seus dados. Um sistema de comunicao de dados pode ser considerado o cumprimento dessa poltica, que deve incluir regras detalhadas nformaes e recursos oferecidos pela rede devem ser manipulados. leis, regras e prticas seus recursos e trans seguro quando garante definindo como as i

Uma poltica de segurana implementada baseando-se na aplicao de regras que controlem o acesso aos dados e recursos que so trafegados atravs da rede; isto , de fine-se o que e o que no permitido em termos de segurana, durante a operao de um dado aplicativo o u recurso da rede, atravs da definio do nvel de acesso autorizado para os usurios que u tilizam-se do sistema de comunicao de dados. Com base na natureza da autorizao que dada ao usuri

o, pode-se dividir em dois os tipos de poltica de segurana existentes: uma baseada em regras, onde os dados e recursos da rede so marcados com rtulos de segurana apropriados que defi nem o nvel de autorizao do usurio que os est controlando; e uma outra baseada em identidade . Nesse ltimo tipo, temos que o administrador da rede pode especificar explicitamente os tipos de acesso que os usurios da rede podem ter s informaes e recursos que esto sob seu controle [1] . 18/18 22/12/99 Roteadores e Segurana em Redes

CBPF-NT-004/99 -NT-004/99 5.2. Mecanismos de Segurana Uma poltica de segurana pode ser implementada com a utilizao de vrios mecanismos. Abaixo, temos alguns dos mais importantes mecanismos de segurana util izados em redes de computadores. 5.2.1. Criptografia Em meios de comunicao onde no possvel impedir que o fluxo de pacote de dados seja interceptado, podendo as informaes serem lidas ou at modificadas, necessria a criptografia. Nesse mecanismo, utiliza-se um mtodo que modifique o texto original da mensagem transmitida, gerando um texto criptografado na origem, atravs de um processo de c odificao definido por um mtodo de criptografia. O pacote ento transmitido e, ao chegar no d estino, ocorre o processo inverso; isto , o mtodo de criptografia aplicado agora para deco dificar a mensagem, transformando-a na mensagem original. Contudo, toda a vez que o mtodo utilizado descoberto, quebrando-se o cdigo de criptografia, necessrio substitu-lo por um outro diferente, o que acarreta no dese nvolvimento de novos procedimentos para a implementao desse novo mtodo, treinamento do pessoal env olvido, etc. Com o intuito de evitar tal problema, criou-se um novo mecanismo de criptog rafia, representado na figura 9 mostrada abaixo. Nesse novo modelo, um texto criptograf ado gerado a partir do texto normal varia de acordo com uma chave de codificao utilizada para o mesmo mtodo de criptografia. Isto , para uma mesma mensagem original e um mesmo mtodo de criptografia, chaves diferentes produzem textos criptografados diferentes. Dessa forma, no adianta conhecer o mtodo de criptografia para recuperar a mensagem original, porque, para recuper-la corretamente, necessrio tanto o texto criptografado quanto a chave de decodificao u tilizada [1]. Figura 9: Mtodo de criptografia utilizando chaves. 5.2.2. Integridade de Dados Os mecanismos de controle de integridade de dados atuam em dois nveis: controle d a integridade de pacotes isolados e controle da integridade de uma conexo, isto , do s pacotes e da seqncia de transmisso. Em relao ao primeiro nvel, tem-se que tcnicas de deteco de modificaes, que so normalmente associadas com a deteco de erros em bits, pacotes ou erros de seqncia introduzidos por enlaces e redes de comunicao, so usadas para garantir a integridad e dos dados trafegados em uma rede. Contudo, se os cabealhos dos pacotes de dados no forem dev idamente Roteadores e Segurana em Redes 22/12/99 19/19

CBPF-NT-004/99 -NT-004/99 protegidos contra possveis modificaes, pode-se contornar a verificao, desde que sejam conhecidas essas tcnicas. Portanto, para garantir a integridade necessrio manter c onfidenciais e ntegras as informaes de controle que so usadas na deteco de modificaes. J para controlar modificaes na seqncia de pacotes transmitidos em uma conexo, so necessrias tcnicas que garantam a integridade desses pacotes, de forma a garanti r que as informaes de controle no sejam corrompidas, em conjunto com informaes de controle de seqncia. Esses cuidados, apesar de no evitarem a modificao da cadeia de pacotes, gara ntem a deteco e notificao dos ataques [1]. 5.2.3. Controle de Acesso Esse mecanismo de segurana utilizado para garantir que o acesso a um recurso de rede qualquer seja limitado a usurios devidamente autorizados pelo administrador do sistema. Como tcnicas utilizadas, tem-se a utilizao de listas ou matrizes de controles de ac esso, que associam recursos a usurios autorizados; ou senhas e tokens associadas aos recurs os, cuja posse determina os direitos de acesso do usurio que as possui. Como exemplo da utilizao de tokens para controlar o acesso aos recursos de uma rede, consideremos o mtodo de controle de congestionamento de trfego conhecido com o controle isorrtmico. Nesse mtodo, existem permisses, que so os tokens, que circulam pela rede . Sempre que um host deseja transmitir um novo pacote pela rede, ele primeiramente deve c apturar uma dessas permisses e destru-la, sendo que essa permisso destruda regenerada pelo host que recebe o pacote no destino. Contudo, esse mtodo apresenta um problema: a distribu io das permisses depende das aplicaes na rede e o prprio trfego aleatrio desses tokens causa um trfego extra na rede, diminuindo assim a sua performance. Ainda, tem-se que a per da de uma permisso devido a uma falha qualquer na rede deve ser recuperada, de forma a evit ar que a sua capacidade de transporte seja reduzida [1]. 5.2.4. Controle de roteamento Esse mecanismo garante a transmisso de informao atravs de rotas fisicamente seguras, cujos canais de comunicao forneam os nveis apropriados de proteo. Essa garant ia se deve ao controle do roteamento de pacotes de dados. Atravs desse controle, rotas preferenciais (ou obrigatrias) para a transferncia de dados so especificadas pelo administrador do si stema [1]. 5.2.5. Comentrios finais Alm desses mecanismos de segurana mencionados, muitos outros so encontrados. Em alguns casos particulares, a poltica de segurana aplicada baseada na implementao de firewalls, j estudados anteriormente nessa Nota Tcnica.

6. Concluso Ao final desse trabalho, podemos concluir que o roteador apresenta uma importncia muito grande dentro de uma topologia de rede, uma vez que esse equipamento permi te, alm da gerncia e do controle de acesso s informaes, o compartilhamento de recursos e servios entre 20/20 22/12/99 Roteadores e Segurana em Redes

CBPF-NT-004/9-NT-004/99 redes geograficamente dispersas. Como conseqncia, essencial que o administrador da rede tenha total domnio sobre os recursos do roteador que a gerencia, assim como o entendime nto da tecnologia desse dispositivo, pois assim ser possvel garantir uma maior qualidade na sua performance. Ainda, tambm podemos observar como importante a implementao de uma poltica de segurana adequada que garanta a integridade das informaes armazenadas na rede e dos dispositivos que a compem, protegendo assim esses dados e mquinas de possveis ataqu es externos, que poderiam causar srios danos a estrutura administrativa e tcnica de u ma empresa ou organizao. Roteadores e Segurana em Redes 22/12/99 21/21

CBPF-NT-004/9-NT-004/99 Referncias Em relao s referncias de pginas web, importante ressaltarmos que pginas da Internet so altamente dinmicas, podendo mudar desde parte do seu contedo at o prprio endereo. Devido a isto, existe a possibilidade de que, ao consultar alguma pgina, essa no mais exista ou ento tenha outras informaes. [1] Redes de Computadores Das LAN s, MAN s e WAN s s Redes ATM Segunda edio / Luiz Fernando Gomes Soares, Guido Lemos e Srgio Colcher. [2] Redes de Computadores / Nota Tcnica escrita por Leonardo Ferreira Carneiro, Nil ton Costa Braga e Nilton Alves Jr. em Outubro de 1998. [3] Introduction to Cisco Router Configuration: Student Guide / Manual da Cisco Sy stems Inc. [4] Advanced to Cisco Router Configuration: Student Guide / Manual da Cisco System s Inc. [5] Router , http://webopedia.internet.com/TERM/r/router.html. [6] Routing in the Internet , http://www.scit.wlv.ac.uk/~jpjb/comms/iproute.html. [7] Header , http://webopedia.internet.com/TERM/h/header.html. [8] ICMP , http://webopedia.internet.com/TERM/I/ICMP.html. [9] DNS , http://webopedia.internet.com/TERM/D/DNS.html. [10] firewall , http://webopedia.internet.com/TERM/f/firewall.html. [11] The Need for Firewalls , http://www.icsa.net/fwbg/chap_2.html. [12] What is a Firewall? , http://www.icsa.net/fwbg/chap_3.html. [13] Internet Firewalls and Security A Technology Overview / Escrito por Chuck Semeriahttp://www.3com.com/nsc/500619.html [14] IP spoofing , http://webopedia.internet.com/TERM/I/IP_spoofing.html. [15] proxy server , http://webopedia.internet.com/TERM/p/proxy_server.html. [16] Routing Information Protocol , http://webopedia.internet.com/TERM/R/Routing_Information_Protocol.html. [17] Networking: A Primer , http://ww.baynetworks.com/products/Papers/wp-primer.htm l. [18] Internetworking , http://webopedia.internet.com/TERM/i/internetworking.html. [19] ARP , http://webopedia.internet.com/TERM/A/ARP.html. 22/22 22/12/99 Roteadores e Segurana em Redes