Download - Firewalls IDS
Definição• Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes.
• Ponto de conexão entre duas redes não confiáveis.
• Pode ser um hardware, um software ou ambos.
• Permite que a comunicação seja monitorada e segura.
Gateway(s)
Filtro Filtro
Internetrede
interna
protege o gateway de ataques
• uma máquina• conjunto de máquinasque oferece(m) serviços através de proxy
Gateway(s)
Filtro Filtro
Internetrede
interna
protege o gateway de ataques
• uma máquina• conjunto de máquinasque oferece(m) serviços através de proxy
• zona desmilitarizada (DMZ)• gateway + gateway interno
Propriedades
• Todo tráfego deve passar pelo firewall.• Somente o tráfego autorizado pode passar para a rede
monitorada.• O firewall propriamente dito pode ser considerado imune
de invasões.• Ele deve garantir a política de segurança.
• Seu é mais eficiente do que espalhar decisões e tecnologias de segurança.
• Limita a exposição.• Permite rastreamento:
. origem das conexões;. quantidade de tráfego no servidor;
. tentativa de quebra do sistema.
Não oferece proteção contra:
• Ataques internos maliciosos.
• Conexões que não passam pelo firewall.
• Ameaças totalmente novas.
• Vírus.
Exemplo de Estrutura• Roteador.
• PC para controle com sistema operacional adequado.• Conjunto de hosts.
Obs.:Roteador (do inglês router - encaminhador): dispositivo usado para fazer a comutação de protocolos (comunicação entre diferentes redes de computadores, distantes entre si).Operam na camada 3 do modelo OSI. Seleciona a rota mais apropriada para encaminhar os pacotes recebidos (o melhor caminho disponível na rede para um determinado destino).Host é qualquer máquina ou computador conectado a uma rede.
Tecnologia
• Estática– permitir qualquer serviço a menos que ele seja
expressamente negado.– negar qualquer serviço a menos que ele seja
expressamente permitido.
• Dinâmica– permitir/negar qualquer serviço para quando e
por quanto tempo desejar.
Firewalls
Funcionalidades de um firewall Funcionalidades de um firewall
Atua como uma barreira entre duas ou mais redesAtua como uma barreira entre duas ou mais redes
Permite bloquear a entrada e/ou a saída de pacotesPermite bloquear a entrada e/ou a saída de pacotes
Possibilita a configuração de logs e alarmesPossibilita a configuração de logs e alarmes
Conversão de endereços de rede IP (NAT)Conversão de endereços de rede IP (NAT)
Criptografia e autenticaçãoCriptografia e autenticação
Administração local e remotaAdministração local e remota
Integração com aplicativos de segurança (IDS, anti-virus)Integração com aplicativos de segurança (IDS, anti-virus)
Firewalls
Conexões de entrada (INPUT) Conexões de entrada (INPUT)
São as que vem de fora com destino direto à rede a ser São as que vem de fora com destino direto à rede a ser protegida. protegida.
Conexões de saída (OUTPUT) Conexões de saída (OUTPUT)
São exatamente o inverso, partindo da rede protegida com São exatamente o inverso, partindo da rede protegida com destino a um host (servidor) remoto. destino a um host (servidor) remoto.
Conexões de redirecionamento (FORWARD)Conexões de redirecionamento (FORWARD)
Vem de fora (redes externas ou internas) e entram na rede Vem de fora (redes externas ou internas) e entram na rede protegida, porém elas devem ser encaminhadas a outro host. protegida, porém elas devem ser encaminhadas a outro host.
O encaminhamento de pacotes geralmente aparece em redes O encaminhamento de pacotes geralmente aparece em redes internas, onde o acesso à web é feito via NAT (Network internas, onde o acesso à web é feito via NAT (Network Address Translation).Address Translation).
Firewalls
Portas TCP e UDPPortas TCP e UDP
Tanto os protocolos de rede TCP (o mais comum) e UDP Tanto os protocolos de rede TCP (o mais comum) e UDP (usado muito em conteúdo streaming, entre outras funções) (usado muito em conteúdo streaming, entre outras funções) oferecem uma série de portas lógicas para que os diferentes oferecem uma série de portas lógicas para que os diferentes protocolos de transmissão de dados (HTTP, FTP, POP, etc.) protocolos de transmissão de dados (HTTP, FTP, POP, etc.) possam operar. São 65535 portas TCP mais 65535 portas possam operar. São 65535 portas TCP mais 65535 portas UDP. Cada protocolo de dados usa uma porta específica: UDP. Cada protocolo de dados usa uma porta específica: HTTP usa a porta 80 TCP, FTP usa as portas 20 (em modo HTTP usa a porta 80 TCP, FTP usa as portas 20 (em modo FTP ativo) e 21 TCP (tanto no modo Ativo quanto Passivo), FTP ativo) e 21 TCP (tanto no modo Ativo quanto Passivo), POP usa a porta 110 TCP, e assim por diante.POP usa a porta 110 TCP, e assim por diante.
Firewalls
Portas TCP e UDPPortas TCP e UDP
Para que um aplicativo servidor de páginas Web funcione Para que um aplicativo servidor de páginas Web funcione (Apache, IIS, Tomcat, etc.), por exemplo, é necessário (Apache, IIS, Tomcat, etc.), por exemplo, é necessário configurar o sistema de forma que a porta 80 aceite conexões configurar o sistema de forma que a porta 80 aceite conexões de entrada; para configurar o Terminal Services do Windows de entrada; para configurar o Terminal Services do Windows Server, é necessário liberar conexões entrantes na porta Server, é necessário liberar conexões entrantes na porta 3389 TCP; e assim por diante. 3389 TCP; e assim por diante.
Não é possível se conectar em portas fechadas, a não ser Não é possível se conectar em portas fechadas, a não ser que você se aproveite de alguma vulnerabilidade do protocolo que você se aproveite de alguma vulnerabilidade do protocolo TCP/IP. TCP/IP.
Firewalls
Portas abertas, fechadas e filtradasPortas abertas, fechadas e filtradas
Para que uma tarefa de servidor aceite conexões entrantes, é Para que uma tarefa de servidor aceite conexões entrantes, é necessário que a porta correspondente ao serviço esteja necessário que a porta correspondente ao serviço esteja aberta (OPEN). aberta (OPEN).
Quando ela está fechada (CLOSED), não é permitido Quando ela está fechada (CLOSED), não é permitido conexões de entrada. O modo filtrado (FILTERED, ou conexões de entrada. O modo filtrado (FILTERED, ou STEALTHED ou ainda BLOCKED) não só fecha a porta como STEALTHED ou ainda BLOCKED) não só fecha a porta como impede que um acesso externo consulte a situação dela ou impede que um acesso externo consulte a situação dela ou tente realizar conexões. Um bom firewall deve filtrar as portas tente realizar conexões. Um bom firewall deve filtrar as portas não usadas, pois ainda que elas estejam fechadas, é possível não usadas, pois ainda que elas estejam fechadas, é possível se aproveitar de alguma vulnerabilidade do protocolo TCP/IP se aproveitar de alguma vulnerabilidade do protocolo TCP/IP para forçar a entrada. para forçar a entrada.
Stealth - cautelaStealth - cautela
Firewalls
EscopoEscopo
Define o campo de atuação de uma determinada regra de Define o campo de atuação de uma determinada regra de firewall. Exemplos:firewall. Exemplos:
- Liberar apenas uma porta específica à web, enquanto que Liberar apenas uma porta específica à web, enquanto que as demais deverão ser visíveis apenas à rede interna. as demais deverão ser visíveis apenas à rede interna.
-Liberar o acesso à porta 23 (telnet) apenas ao IP do Liberar o acesso à porta 23 (telnet) apenas ao IP do administrador. administrador.
Firewalls
EscopoEscopo
Para implementar essas restrições é necessário definir o escopo Para implementar essas restrições é necessário definir o escopo para cada uma das regras do firewall. para cada uma das regras do firewall.
Ele é formado pelo número IP, e pode ser acrescida a máscara de Ele é formado pelo número IP, e pode ser acrescida a máscara de rede, de forma a abrir ou restringir o acesso à todos os hosts rede, de forma a abrir ou restringir o acesso à todos os hosts daquela faixa de IP. daquela faixa de IP.
Exemplos de IPs e suas respectivas máscaras são: 192.168.0.0/16 Exemplos de IPs e suas respectivas máscaras são: 192.168.0.0/16 (o mesmo que 192.168.0.0/255.255.255.0), 172.16.0.0/24 (ou (o mesmo que 192.168.0.0/255.255.255.0), 172.16.0.0/24 (ou 172.16.0.0./255.255.0.0) e 10.0.0.0/32 (ou 10.0.0.0/255.0.0.0). Para 172.16.0.0./255.255.0.0) e 10.0.0.0/32 (ou 10.0.0.0/255.0.0.0). Para liberar/bloquear a porta a todos, geralmente não é necessário liberar/bloquear a porta a todos, geralmente não é necessário especificar o escopo, ou deve-se usar 0.0.0.0/0.0.0.0.especificar o escopo, ou deve-se usar 0.0.0.0/0.0.0.0.
Firewalls
Arquitetura interna de um firewall Arquitetura interna de um firewall
Filtros de pacotes (Packet filtering)Filtros de pacotes (Packet filtering)
Gateway de aplicação (Application gateway layer)Gateway de aplicação (Application gateway layer)
Inspeção completa de estados (Full state inspection) Inspeção completa de estados (Full state inspection)
Arquitetura interna de um firewallArquitetura interna de um firewall Filtros de pacotes (Packet filtering)Filtros de pacotes (Packet filtering)
Filtragem baseada em endereços fonte e destino portas fonte e destino protocolo flags tipo da mensagem.
Filtragem baseada em:. endereços fonte e destino;
. portas fonte e destino;
. protocolo;
. flags;
. tipo da mensagem.
Firewalls
Arquitetura interna de um firewall Arquitetura interna de um firewall
Gateway de aplicação (Application gateway layer)Gateway de aplicação (Application gateway layer)
Firewalls
Arquitetura interna de um firewall Arquitetura interna de um firewall
Inspeção completa de estado (Full state inspection) Inspeção completa de estado (Full state inspection)
Firewalls
Arquitetura interna de um firewall Arquitetura interna de um firewall
Computer Networks - Tanenbaum
Firewalls
Vantagens x Desvantagens Vantagens x Desvantagens
Filtro de pacotes Baixo custo
Transparente para aplicação
Baixa segurança
Sujeito a IP spoofing
Filtra somente até a camada 3
Gateway de aplicação Bom nível de segurança
Verificação na camada de aplicação
Baixa performance
Pouca escalabilidade
Não é transparente
Inspeção de estado Bom nível de segurança
Verificação em todas as camadas
Boa performance
Alto custo
Firewalls
Modelos de implementação Modelos de implementação
Screening routerScreening router
Dual-homed hostDual-homed host
Screened hostScreened host
Screened subnet Screened subnet
Firewalls
Modelos de implementação Modelos de implementação
Screening routerScreening router
Essa é a maneira mais simples de se implementar um Firewall, pois o filtro, apesar de ser de difícil elaboração, é rápido de se implementar e seu custo é baixo, entretanto, se as regras do roteador forem quebradas, a rede da empresa ficará totalmente vulnerável.
rede interna
Internet
screening router
Firewalls
Modelos de implementação Modelos de implementação
Screening routerScreening router
Vantagens: Baixo custo, Alto desempenhoVantagens: Baixo custo, Alto desempenho
Desvantagens: Nível básico de proteção, não permite muita Desvantagens: Nível básico de proteção, não permite muita flexibilidade na configuração.flexibilidade na configuração.
Firewalls
Modelos de implementação Modelos de implementação
Dual homed hostDual homed host
Uma única máquina com duas interfaces de rede entre a Internet e a rede da empresa. Quase sempre, esse Gateway, chamado de Bastion Host conta com um Proxy de circuito para autenticar o acesso da rede da empresa para a internet e filtrar o acesso da Internet contra a rede da empresa.
Firewalls
Modelos de implementação Modelos de implementação
Dual Homed HostDual Homed Host
Vantagens: Maior nível de controleVantagens: Maior nível de controle
Desvantagens: Menor desempenhoDesvantagens: Menor desempenho
Firewalls
A primeira camada, é a rede externa, que está interligada com a Internet através do roteador, nesta camada a rede só conta com o "filtro de pacotes".A segunda camada, é a rede interna, e quem limita os acessos neste ponto é um Bastion Host com um Proxy Firewall, pois nele, temos um outro filtro de pacotes além de mecanismos de autenticação da própria rede interna.
Modelos de implementação Modelos de implementação
Screened host gatewayScreened host gateway
Firewalls
Define uma camada extra de segurança ao isolar um perímetro da rede tanto da rede externa quanto da rede interna.
Modelos de implementação Modelos de implementação
Screened subnetScreened subnet
FirewallsModelos de implementação Modelos de implementação DMZ – Demilitarized ZoneDMZ – Demilitarized Zone
Utilizada em serviços muito visados. Constitui uma barreira entre os serviços internos e os públicos, ou seja, é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet, com função de manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc.), separados da rede local, limitando o potencial dano em caso de invasão. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local!
Internet
rede interna
rede perimetral - DMZ
screening router externo
bastionhost
screening router interno
Firewalls
Problemas relativos a firewallsProblemas relativos a firewalls
Spoofing de endereços de origemSpoofing de endereços de origem
Flooding de pedidos de conexãoFlooding de pedidos de conexão
Arquivos cifrados ou imagens de textos Arquivos cifrados ou imagens de textos
Conexões paralelas na rede internaConexões paralelas na rede interna
Ataques através de conexões permitidasAtaques através de conexões permitidas
Múltiplos BHsInternet
rede interna
FTP
rede perimetral - DMZ
SMTP2WWW
desempenho, redundância, separação de dados e serviçosdesempenho, redundância, separação de dados e serviços
rede interna
externo
interno
bastion host
Internet
DMZ externa
DMZ interna
quebra não permite visibilidade do tráfego
da rede interna
Sistemas de Detecção de Intrusão - IDS
DefiniçõesDefinições
IntrusoIntruso
Qualquer pessoa tentando obter acesso indevido ou utilizando de forma Qualquer pessoa tentando obter acesso indevido ou utilizando de forma inadequada um sistema ou recurso (com o intuito de torná-lo inadequada um sistema ou recurso (com o intuito de torná-lo indisponível ou obter informações confidenciais?).indisponível ou obter informações confidenciais?).
Detecção de IntrusãoDetecção de Intrusão
Processo de identificar e responder a atividades maliciosas dirigidas a Processo de identificar e responder a atividades maliciosas dirigidas a computadores e recursos de rede. Coletar informações de sistemas ou computadores e recursos de rede. Coletar informações de sistemas ou redes e analisá-las buscando sinais de intrusão e de mau-uso.redes e analisá-las buscando sinais de intrusão e de mau-uso.
DefiniçõesDefinições
AtaquesAtaques
- Probe: acessar um alvo para determinar suas características- Probe: acessar um alvo para determinar suas características
- Scan: acessar um conjunto de alvos de forma seqüencial, visando - Scan: acessar um conjunto de alvos de forma seqüencial, visando identificar a existência de determinadas características em cada um identificar a existência de determinadas características em cada um desses alvosdesses alvos
- Flood: acessar repetidamente um alvo, causando uma sobrecarga na - Flood: acessar repetidamente um alvo, causando uma sobrecarga na sua capacidade de operaçãosua capacidade de operação
- Bypass: evitar um processo pelo uso de um método alternativo de - Bypass: evitar um processo pelo uso de um método alternativo de acessar determinado alvoacessar determinado alvo
- Spoof: disfarçar-se assumindo a aparência de outra entidade- Spoof: disfarçar-se assumindo a aparência de outra entidade
Sistemas de Detecção de Intrusão - IDS
Baseados em hosts (exemplo de tipo de arquitetura)Baseados em hosts (exemplo de tipo de arquitetura)
Analisam a atividade do sistema através de dados coletados na Analisam a atividade do sistema através de dados coletados na própria máquinaprópria máquina
Vantagens:Vantagens:
independência de redeindependência de rede
detecção de ataques internosdetecção de ataques internos
reaçãoreação
Desvantagens:Desvantagens:
dificuldades de instalação e manutençãodificuldades de instalação e manutenção
ataques ao próprio sistemaataques ao próprio sistema
desempenhodesempenho
Sistemas de Detecção de Intrusão - IDS
Erros que podem ocorrer no sistemaErros que podem ocorrer no sistema
Falso Positivo. Quando o sistema classifica uma ação como Falso Positivo. Quando o sistema classifica uma ação como uma possível intrusão quando, na verdade, trata-se de uma uma possível intrusão quando, na verdade, trata-se de uma ação legítima. Por exemplo, uma carga excessiva de acessos ação legítima. Por exemplo, uma carga excessiva de acessos a uma página web pode ser caracterizada indevidamente como a uma página web pode ser caracterizada indevidamente como um ataque do tipo flood.um ataque do tipo flood.
Falso Negativo. Quando uma intrusão real acontece mas o Falso Negativo. Quando uma intrusão real acontece mas o sistema não é capaz de detectá-la, considerando-a legítima.sistema não é capaz de detectá-la, considerando-a legítima.
Subversão. Quando o intruso modifica a operação do sistema Subversão. Quando o intruso modifica a operação do sistema para forçar a ocorrência de falsos negativos.para forçar a ocorrência de falsos negativos.
Sistemas de Detecção de Intrusão - IDS