segurança de sistema firewall
TRANSCRIPT
![Page 1: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/1.jpg)
Segurança de Sistemase Internet Firewalls
Marcos Aguinaldo Forquesato
Centro de Computação
UNICAMP
![Page 2: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/2.jpg)
Por que você precisa desegurança?
➤ Para proteger sua rede contra a invasão depessoas não autorizadas➤ INTERNET ( NW - Julho/98 )
➤ ~ 36.739.000 computadores
➤ ~ 13.062.628 domínios ( nível 3 )
➤ ???.???.??? usuários -> 150.000.000 ( 1 % )
➤ INTERNET Brasil ( CG )➤ ~ 163.890 computadores
➤ ~ 23.941 domínios
➤ ~ 1.310.001 usuários - Dezembro/97 ( 1 % )
![Page 3: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/3.jpg)
Incidentes nos USA ( CERT ) :
➤ 1992 773
➤ 1994 2.340
➤ 1996 2.573
➤ 1997 2.134 ( > 100.000 )
➤ 1-3Q 1998 2.497
➤ 4 % detectam as tentativas de invasão
➤ 40 % dos ataques obtém permissão desuper-usuário
![Page 4: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/4.jpg)
Teste do Departamento de Defesa( USA - 1995 )
➤ 8.932 sistemas participantes
➤ 7.860 foram invadidos com sucesso
➤ 390 detectaram os ataques
➤ apenas 19 relataram os ataques
![Page 5: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/5.jpg)
O que você está tentandoproteger?
➤ Seus dados➤ Integridade
➤ Privacidade
➤ Disponibilidade
➤ Seus recursos
➤ Sua reputação
![Page 6: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/6.jpg)
Riscos na Internet
➤ Estelionato / Sedução / Conto do Vigário
➤ Perda da Performance
➤ Violação de direitos autorais
➤ Repúdio de informações
➤ Falsos Sites/Identidades
➤ Fraudes
➤ Violação de correspondência
![Page 7: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/7.jpg)
Contra o que você está tentandose proteger?
➤ Classes de Ataques➤ Roubo de senhas
➤ Engenharia Social
➤ BUG & Backdoors
➤ Falha de autenticação
➤ Falha de protocolo
➤ Obtendo Informações
➤ Negando serviços
![Page 8: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/8.jpg)
Segurança das Contas
➤ Senhas➤ Seleção adequada
➤ Políticas para escolha
➤ Verificação periódica da segurança ( Crack )
➤ Datas de expiração
➤ Contas guest
➤ Contas sem senha
➤ Contas de grupo -> Mecanismo de grupos
![Page 9: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/9.jpg)
Segurança do Sistema deArquivos
➤ Verificação periódica dos arquivos comsuid/sgid
➤ Remova os suids desnecessários dosfilesystems ( locais e remotos )
➤ ACLs
➤ Nunca utilize shell scripts com o suid bit
➤ umask ( 027 ou 077 )
➤ Dispositivos
![Page 10: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/10.jpg)
Segurança do Sistema deArquivos
➤ Arquivos imutáveis
➤ Montar filesystems read-only
➤ Network File System (NFS)➤ /etc/exports ( -access )
➤ Restrição de acesso para o root
➤ nosuid/nodev
➤ BACKUPs
![Page 11: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/11.jpg)
Monitoração da Segurança
➤ Checklists diários➤ /etc/passwd ( formato/conteúdo)
➤ arquivos suid/sgid
➤ arquivos sem dono
➤ .rhosts
➤ Tripwire
➤ COPS/Tiger
![Page 12: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/12.jpg)
Auditoria
➤ Log Host
➤ lastlog
➤ utmp
➤ wtmp
➤ acct
![Page 13: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/13.jpg)
Auditoria
➤ syslog
➤ messages
➤ sulog
➤ xferlog
![Page 14: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/14.jpg)
Segurança Física
➤ Backups
➤ Plano de contingência
➤ autologout
➤ xautolock
![Page 15: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/15.jpg)
Serviços
➤ "r" commands -> SSH
➤ /etc/hosts.equiv - $HOME/.rhosts
➤ lpd -> LPRng
➤ NIS
➤ NFS -> DFS
➤ /etc/hosts.lpd
➤ fingerd
![Page 16: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/16.jpg)
Serviços
➤ DNS ( zone transfer )
➤ Trivial ftp (tftp)
➤ NNTP/INND
➤ POP/IMAP
➤ /etc/aliases
➤ Sendmail ( smrsh - procmail )
➤ majordomo/petidomo
![Page 17: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/17.jpg)
Serviços
➤ Terminais seguros
➤ UUCP
➤ World Wide Web (WWW)➤ Rode o httpd com o usuário nobody
➤ CGI scripts
➤ Monitore as logs ( access.log )
➤ anonymous ftp
![Page 18: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/18.jpg)
Internet Firewalls
![Page 19: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/19.jpg)
O que é um Internet Firewall?
➤ Restringe acessos a um localcuidadosamente controlado
➤ Impede que invasores alcançemsuas demais defesas
➤ Restringe saídas de um localcuidadosamente controlado
![Page 20: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/20.jpg)
O que um Firewall pode fazer?
➤ Forçar a política de segurança
➤ Logar todo tráfego
➤ Limitar riscos
➤ Um firewall é um foco de decisões
![Page 21: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/21.jpg)
O que um Firewall não podefazer?
➤ Proteger contra pessoas internas
➤ Proteger contra conexões que nãopassam por ele
➤ Proteger completamente contranovos caminhos
![Page 22: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/22.jpg)
Definições
➤ Filtros de pacotes
➤ Proxy / Aplicação Gateway
![Page 23: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/23.jpg)
Filtros de pacotes
➤ Controle de acesso➤ Endereço de origem e destino
➤ Protocolo ( TCP, UDP ou ICMP )
➤ Porta de origem e destino ( TCP ou UDP )
➤ Tipo de mensagem ICMP
➤ Interface de rede de entrada e saida
➤ TCP flags
➤ Fragmentos
![Page 24: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/24.jpg)
Proxy / Aplicação Gateway
![Page 25: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/25.jpg)
Proxy / Aplicação Gateway
➤ Recebe as conexões e repassa a entradade dados (input) para o sistema remoto.A aplicação responde aos proxies querepassam a saída (output) para o usuário.
➤ Controle de acesso
➤ Verifica o protocolo de cada aplicação
➤ Loga o tráfego
➤ Pode possuir mecanismos anti-virus
![Page 26: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/26.jpg)
Proxy / Aplicação Gateway
➤ Exemplos :➤ Sendmail ( smapd - smtpd/smtpfwdd )
➤ Telnet gateway
➤ FTP gateway
➤ X11 protocol forwarder
➤ HTTP gateway ( Screening )
![Page 27: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/27.jpg)
Arquiteturas de Firewall
➤ Dual-Homed Host
➤ Screened Host➤ Bastion Host
➤ Screened Subnet➤ Rede perimetral ( Zona desmilitarizada )
➤ Bastion Host
➤ Roteador interno
➤ Roteador externo
![Page 28: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/28.jpg)
Dual-Homed Gateway
![Page 29: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/29.jpg)
Screened Host
![Page 30: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/30.jpg)
Screened Subnet
![Page 31: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/31.jpg)
Zona desmilitarizada ( DMZ )
➤ Subrede localizada entre arede externa ( Internet ) e arede interna ( rede privada )
➤ Pode ser a terceira interfacede um gateway
![Page 32: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/32.jpg)
Variações sobre as arquiteturas
➤ Múltiplos bastion hosts
➤ Juntar o roteador externo e interno
➤ Múltiplos roteadores externos
➤ Múltiplas redes perimetrais
➤ Usar Dual-Homed Hosts e Screened Subnet
![Page 33: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/33.jpg)
Autenticação
➤ One-time passwords➤ Programa/Calculadora
➤ Lista de senhas
➤ Ex: S/Key ( jotp ) - OPIE
➤ Smart Card➤ Ex: SecurID
![Page 34: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/34.jpg)
Criptografia
➤ Simétrica
➤ Assimétrica
![Page 35: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/35.jpg)
Criptografia Simétrica
![Page 36: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/36.jpg)
Criptografia Assimétrica
![Page 37: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/37.jpg)
Certificação
➤ Verifica a chave pública
➤ Necessita de um terceiro elemento ,conhecido como AutoridadeCertificadora ( CA )
![Page 38: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/38.jpg)
Assinatura Digital
➤ Certificados são conhecidos comoassinaturas digitais
➤ A chave pública pode verificar aintegridade de um documentoatravés da assinatura digital
![Page 39: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/39.jpg)
Network Address Translation( NAT )
➤ Mecanismo que troca o endereço IPde máquinas da rede internapara o endereço do firewall( ou um range de endereços )
➤ Os IPs internos não são deconhecimento público
![Page 40: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/40.jpg)
Administração do Firewall
➤ Alertas
➤ Auditoria
➤ Atendimento a emergências de segurança
![Page 41: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/41.jpg)
Ferramentas
➤ Ferramentas de autenticação
➤ Ferramentas de análise
➤ Filtros de pacotes
➤ Sistemas proxies
➤ Ferramentas de criptografia
➤ Daemons
➤ Utilitários
➤ Produtos comercias
![Page 42: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/42.jpg)
Ferramentas de autenticação
➤ TIS Internet Firewall Toolkit
➤ Kerberos
➤ DCE
![Page 43: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/43.jpg)
Ferramentas de análise
➤ COPS / Tiger
➤ Tripwire
➤ SATAN ( Security Administrator Tool forAnalyzing Networks )
➤ ISS ( Internet Security Scanner )
➤ Strobe
➤ Nessus
![Page 44: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/44.jpg)
Filtros de pacotes
➤ IPfilter
➤ IPFW
![Page 45: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/45.jpg)
Proxies
➤ SOCKS
➤ TIS Internet Firewall Toolkit
➤ UDP Packet Relayer
➤ rinetd
➤ Bjorb/stunnel
![Page 46: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/46.jpg)
Ferramentas de criptografia
➤ SSH ( Secure Shell )
➤ SSL ( Secure Socket Lawer ) -SSLtelnet/SSLftp
➤ PGP ( Pretty Good Privacy ) - gnupg
![Page 47: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/47.jpg)
Daemons
➤ wuarchive ftpd
➤ gated
➤ NIS+
➤ DFS
➤ xntpd
![Page 48: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/48.jpg)
Utilitários
➤ TCPwrapper
➤ chrootuid
➤ swatch/logsurfer
➤ trimlog
➤ tcpdump/tcpshow
![Page 49: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/49.jpg)
Produtos comercias( 38 empresas )
➤ Firewall-1 ( Checkpoint )
➤ Altavista Firewall
➤ Gauntlet Firewall ( TIS )
➤ Firewall Aker ( brasileiro )
![Page 50: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/50.jpg)
Referências
➤ Livros :➤ Firewalls and Internet Security
➤ Building Internet Firewalls
➤ Practical Unix & Internet Security
➤ Computer Crime
![Page 51: Segurança de sistema firewall](https://reader033.vdocuments.mx/reader033/viewer/2022051404/58ec97321a28ab327f8b464d/html5/thumbnails/51.jpg)
Referências
➤ Links :➤ COAST Homepage - www.cs.purdue.edu/coast
➤ CERT Coordination Center - www.cert.org
➤ NIC-BR - www.nic.br
➤ Pangéia - www.pangeia.com.br