Download - Firewalls IDS

Firewalls

IDS

[email protected]

Definição• Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes.

• Ponto de conexão entre duas redes não confiáveis.

• Pode ser um hardware, um software ou ambos.

• Permite que a comunicação seja monitorada e segura.

Gateway(s)

Filtro Filtro

Internetrede

interna

protege o gateway de ataques

• uma máquina• conjunto de máquinasque oferece(m) serviços através de proxy

Gateway(s)

Filtro Filtro

Internetrede

interna

protege o gateway de ataques

• uma máquina• conjunto de máquinasque oferece(m) serviços através de proxy

• zona desmilitarizada (DMZ)• gateway + gateway interno

Propriedades

• Todo tráfego deve passar pelo firewall.• Somente o tráfego autorizado pode passar para a rede

monitorada.• O firewall propriamente dito pode ser considerado imune

de invasões.• Ele deve garantir a política de segurança.

• Seu é mais eficiente do que espalhar decisões e tecnologias de segurança.

• Limita a exposição.• Permite rastreamento:

. origem das conexões;. quantidade de tráfego no servidor;

. tentativa de quebra do sistema.

Não oferece proteção contra:

• Ataques internos maliciosos.

• Conexões que não passam pelo firewall.

• Ameaças totalmente novas.

• Vírus.

Exemplo de Estrutura• Roteador.

• PC para controle com sistema operacional adequado.• Conjunto de hosts.

Obs.:Roteador (do inglês router - encaminhador): dispositivo usado para fazer a comutação de protocolos (comunicação entre diferentes redes de computadores, distantes entre si).Operam na camada 3 do modelo OSI. Seleciona a rota mais apropriada para encaminhar os pacotes recebidos (o melhor caminho disponível na rede para um determinado destino).Host é qualquer máquina ou computador conectado a uma rede.

Rede protegida por firewall

Tecnologia

• Estática– permitir qualquer serviço a menos que ele seja

expressamente negado.– negar qualquer serviço a menos que ele seja

expressamente permitido.

• Dinâmica– permitir/negar qualquer serviço para quando e

por quanto tempo desejar.

Firewalls

Como funciona Como funciona

Firewalls

Rede protegida por firewall Rede protegida por firewall

Firewalls

Funcionalidades de um firewall Funcionalidades de um firewall

Atua como uma barreira entre duas ou mais redesAtua como uma barreira entre duas ou mais redes

Permite bloquear a entrada e/ou a saída de pacotesPermite bloquear a entrada e/ou a saída de pacotes

Possibilita a configuração de logs e alarmesPossibilita a configuração de logs e alarmes

Conversão de endereços de rede IP (NAT)Conversão de endereços de rede IP (NAT)

Criptografia e autenticaçãoCriptografia e autenticação

Administração local e remotaAdministração local e remota

Integração com aplicativos de segurança (IDS, anti-virus)Integração com aplicativos de segurança (IDS, anti-virus)

Firewalls

Conexões de entrada (INPUT) Conexões de entrada (INPUT)

São as que vem de fora com destino direto à rede a ser São as que vem de fora com destino direto à rede a ser protegida. protegida.

Conexões de saída (OUTPUT) Conexões de saída (OUTPUT)

São exatamente o inverso, partindo da rede protegida com São exatamente o inverso, partindo da rede protegida com destino a um host (servidor) remoto. destino a um host (servidor) remoto.

Conexões de redirecionamento (FORWARD)Conexões de redirecionamento (FORWARD)

Vem de fora (redes externas ou internas) e entram na rede Vem de fora (redes externas ou internas) e entram na rede protegida, porém elas devem ser encaminhadas a outro host. protegida, porém elas devem ser encaminhadas a outro host.

O encaminhamento de pacotes geralmente aparece em redes O encaminhamento de pacotes geralmente aparece em redes internas, onde o acesso à web é feito via NAT (Network internas, onde o acesso à web é feito via NAT (Network Address Translation).Address Translation).

Firewalls

Portas TCP e UDPPortas TCP e UDP

Tanto os protocolos de rede TCP (o mais comum) e UDP Tanto os protocolos de rede TCP (o mais comum) e UDP (usado muito em conteúdo streaming, entre outras funções) (usado muito em conteúdo streaming, entre outras funções) oferecem uma série de portas lógicas para que os diferentes oferecem uma série de portas lógicas para que os diferentes protocolos de transmissão de dados (HTTP, FTP, POP, etc.) protocolos de transmissão de dados (HTTP, FTP, POP, etc.) possam operar. São 65535 portas TCP mais 65535 portas possam operar. São 65535 portas TCP mais 65535 portas UDP. Cada protocolo de dados usa uma porta específica: UDP. Cada protocolo de dados usa uma porta específica: HTTP usa a porta 80 TCP, FTP usa as portas 20 (em modo HTTP usa a porta 80 TCP, FTP usa as portas 20 (em modo FTP ativo) e 21 TCP (tanto no modo Ativo quanto Passivo), FTP ativo) e 21 TCP (tanto no modo Ativo quanto Passivo), POP usa a porta 110 TCP, e assim por diante.POP usa a porta 110 TCP, e assim por diante.

Firewalls

Portas TCP e UDPPortas TCP e UDP

Para que um aplicativo servidor de páginas Web funcione Para que um aplicativo servidor de páginas Web funcione (Apache, IIS, Tomcat, etc.), por exemplo, é necessário (Apache, IIS, Tomcat, etc.), por exemplo, é necessário configurar o sistema de forma que a porta 80 aceite conexões configurar o sistema de forma que a porta 80 aceite conexões de entrada; para configurar o Terminal Services do Windows de entrada; para configurar o Terminal Services do Windows Server, é necessário liberar conexões entrantes na porta Server, é necessário liberar conexões entrantes na porta 3389 TCP; e assim por diante. 3389 TCP; e assim por diante.

Não é possível se conectar em portas fechadas, a não ser Não é possível se conectar em portas fechadas, a não ser que você se aproveite de alguma vulnerabilidade do protocolo que você se aproveite de alguma vulnerabilidade do protocolo TCP/IP. TCP/IP.

Firewalls

Portas abertas, fechadas e filtradasPortas abertas, fechadas e filtradas

Para que uma tarefa de servidor aceite conexões entrantes, é Para que uma tarefa de servidor aceite conexões entrantes, é necessário que a porta correspondente ao serviço esteja necessário que a porta correspondente ao serviço esteja aberta (OPEN). aberta (OPEN).

Quando ela está fechada (CLOSED), não é permitido Quando ela está fechada (CLOSED), não é permitido conexões de entrada. O modo filtrado (FILTERED, ou conexões de entrada. O modo filtrado (FILTERED, ou STEALTHED ou ainda BLOCKED) não só fecha a porta como STEALTHED ou ainda BLOCKED) não só fecha a porta como impede que um acesso externo consulte a situação dela ou impede que um acesso externo consulte a situação dela ou tente realizar conexões. Um bom firewall deve filtrar as portas tente realizar conexões. Um bom firewall deve filtrar as portas não usadas, pois ainda que elas estejam fechadas, é possível não usadas, pois ainda que elas estejam fechadas, é possível se aproveitar de alguma vulnerabilidade do protocolo TCP/IP se aproveitar de alguma vulnerabilidade do protocolo TCP/IP para forçar a entrada. para forçar a entrada.

Stealth - cautelaStealth - cautela

Firewalls

EscopoEscopo

Define o campo de atuação de uma determinada regra de Define o campo de atuação de uma determinada regra de firewall. Exemplos:firewall. Exemplos:

- Liberar apenas uma porta específica à web, enquanto que Liberar apenas uma porta específica à web, enquanto que as demais deverão ser visíveis apenas à rede interna. as demais deverão ser visíveis apenas à rede interna.

-Liberar o acesso à porta 23 (telnet) apenas ao IP do Liberar o acesso à porta 23 (telnet) apenas ao IP do administrador. administrador.

Firewalls

EscopoEscopo

Para implementar essas restrições é necessário definir o escopo Para implementar essas restrições é necessário definir o escopo para cada uma das regras do firewall. para cada uma das regras do firewall.

Ele é formado pelo número IP, e pode ser acrescida a máscara de Ele é formado pelo número IP, e pode ser acrescida a máscara de rede, de forma a abrir ou restringir o acesso à todos os hosts rede, de forma a abrir ou restringir o acesso à todos os hosts daquela faixa de IP. daquela faixa de IP.

Exemplos de IPs e suas respectivas máscaras são: 192.168.0.0/16 Exemplos de IPs e suas respectivas máscaras são: 192.168.0.0/16 (o mesmo que 192.168.0.0/255.255.255.0), 172.16.0.0/24 (ou (o mesmo que 192.168.0.0/255.255.255.0), 172.16.0.0/24 (ou 172.16.0.0./255.255.0.0) e 10.0.0.0/32 (ou 10.0.0.0/255.0.0.0). Para 172.16.0.0./255.255.0.0) e 10.0.0.0/32 (ou 10.0.0.0/255.0.0.0). Para liberar/bloquear a porta a todos, geralmente não é necessário liberar/bloquear a porta a todos, geralmente não é necessário especificar o escopo, ou deve-se usar 0.0.0.0/0.0.0.0.especificar o escopo, ou deve-se usar 0.0.0.0/0.0.0.0.

Firewalls

Arquitetura interna de um firewall Arquitetura interna de um firewall

Filtros de pacotes (Packet filtering)Filtros de pacotes (Packet filtering)

Gateway de aplicação (Application gateway layer)Gateway de aplicação (Application gateway layer)

Inspeção completa de estados (Full state inspection) Inspeção completa de estados (Full state inspection)

Arquitetura interna de um firewallArquitetura interna de um firewall Filtros de pacotes (Packet filtering)Filtros de pacotes (Packet filtering)

Filtragem baseada em endereços fonte e destino portas fonte e destino protocolo flags tipo da mensagem.

Filtragem baseada em:. endereços fonte e destino;

. portas fonte e destino;

. protocolo;

. flags;

. tipo da mensagem.

Firewalls


Gateway de aplicação (Application gateway layer)Gateway de aplicação (Application gateway layer)

Firewalls


Inspeção completa de estado (Full state inspection) Inspeção completa de estado (Full state inspection)

Firewalls


Computer Networks - Tanenbaum

Firewalls

Vantagens x Desvantagens Vantagens x Desvantagens

Filtro de pacotes Baixo custo

Transparente para aplicação

Baixa segurança

Sujeito a IP spoofing

Filtra somente até a camada 3

Gateway de aplicação Bom nível de segurança

Verificação na camada de aplicação

Baixa performance

Pouca escalabilidade

Não é transparente

Inspeção de estado Bom nível de segurança

Verificação em todas as camadas

Boa performance

Alto custo

Firewalls

Modelos de implementação Modelos de implementação

Screening routerScreening router

Dual-homed hostDual-homed host

Screened hostScreened host

Screened subnet Screened subnet

Firewalls



Essa é a maneira mais simples de se implementar um Firewall, pois o filtro, apesar de ser de difícil elaboração, é rápido de se implementar e seu custo é baixo, entretanto, se as regras do roteador forem quebradas, a rede da empresa ficará totalmente vulnerável.

rede interna

Internet

screening router

Firewalls



Vantagens: Baixo custo, Alto desempenhoVantagens: Baixo custo, Alto desempenho

Desvantagens: Nível básico de proteção, não permite muita Desvantagens: Nível básico de proteção, não permite muita flexibilidade na configuração.flexibilidade na configuração.

Firewalls


Dual homed hostDual homed host

Uma única máquina com duas interfaces de rede entre a Internet e a rede da empresa. Quase sempre, esse Gateway, chamado de Bastion Host conta com um Proxy de circuito para autenticar o acesso da rede da empresa para a internet e filtrar o acesso da Internet contra a rede da empresa.

Firewalls


Dual Homed HostDual Homed Host

Vantagens: Maior nível de controleVantagens: Maior nível de controle

Desvantagens: Menor desempenhoDesvantagens: Menor desempenho

Internet

screening router

rede interna

bastionhost

Firewalls

A primeira camada, é a rede externa, que está interligada com a Internet através do roteador, nesta camada a rede só conta com o "filtro de pacotes".A segunda camada, é a rede interna, e quem limita os acessos neste ponto é um Bastion Host com um Proxy Firewall, pois nele, temos um outro filtro de pacotes além de mecanismos de autenticação da própria rede interna.


Screened host gatewayScreened host gateway

Firewalls

Define uma camada extra de segurança ao isolar um perímetro da rede tanto da rede externa quanto da rede interna.


Screened subnetScreened subnet

FirewallsModelos de implementação Modelos de implementação DMZ – Demilitarized ZoneDMZ – Demilitarized Zone

Utilizada em serviços muito visados. Constitui uma barreira entre os serviços internos e os públicos, ou seja, é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet, com função de manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc.), separados da rede local, limitando o potencial dano em caso de invasão. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local!

Internet

rede interna

rede perimetral - DMZ

screening router externo

bastionhost

screening router interno

Internet

rede interna

DMZ interna

DMZ externa

externo

interno

intermediário

WWW/FTP

Firewalls

Problemas relativos a firewallsProblemas relativos a firewalls

Spoofing de endereços de origemSpoofing de endereços de origem

Flooding de pedidos de conexãoFlooding de pedidos de conexão

Arquivos cifrados ou imagens de textos Arquivos cifrados ou imagens de textos

Conexões paralelas na rede internaConexões paralelas na rede interna

Ataques através de conexões permitidasAtaques através de conexões permitidas

Múltiplos BHsInternet

rede interna

FTP

rede perimetral - DMZ

SMTP2WWW

desempenho, redundância, separação de dados e serviçosdesempenho, redundância, separação de dados e serviços

rede interna

externo

interno

bastion host

Internet

DMZ externa

DMZ interna

quebra não permite visibilidade do tráfego

da rede interna

Sistemas de Detecção de Intrusão - IDS

DefiniçõesDefinições

IntrusoIntruso

Qualquer pessoa tentando obter acesso indevido ou utilizando de forma Qualquer pessoa tentando obter acesso indevido ou utilizando de forma inadequada um sistema ou recurso (com o intuito de torná-lo inadequada um sistema ou recurso (com o intuito de torná-lo indisponível ou obter informações confidenciais?).indisponível ou obter informações confidenciais?).

Detecção de IntrusãoDetecção de Intrusão

Processo de identificar e responder a atividades maliciosas dirigidas a Processo de identificar e responder a atividades maliciosas dirigidas a computadores e recursos de rede. Coletar informações de sistemas ou computadores e recursos de rede. Coletar informações de sistemas ou redes e analisá-las buscando sinais de intrusão e de mau-uso.redes e analisá-las buscando sinais de intrusão e de mau-uso.

DefiniçõesDefinições

AtaquesAtaques

- Probe: acessar um alvo para determinar suas características- Probe: acessar um alvo para determinar suas características

- Scan: acessar um conjunto de alvos de forma seqüencial, visando - Scan: acessar um conjunto de alvos de forma seqüencial, visando identificar a existência de determinadas características em cada um identificar a existência de determinadas características em cada um desses alvosdesses alvos

- Flood: acessar repetidamente um alvo, causando uma sobrecarga na - Flood: acessar repetidamente um alvo, causando uma sobrecarga na sua capacidade de operaçãosua capacidade de operação

- Bypass: evitar um processo pelo uso de um método alternativo de - Bypass: evitar um processo pelo uso de um método alternativo de acessar determinado alvoacessar determinado alvo

- Spoof: disfarçar-se assumindo a aparência de outra entidade- Spoof: disfarçar-se assumindo a aparência de outra entidade


Baseados em hosts (exemplo de tipo de arquitetura)Baseados em hosts (exemplo de tipo de arquitetura)

Analisam a atividade do sistema através de dados coletados na Analisam a atividade do sistema através de dados coletados na própria máquinaprópria máquina

Vantagens:Vantagens:

independência de redeindependência de rede

detecção de ataques internosdetecção de ataques internos

reaçãoreação

Desvantagens:Desvantagens:

dificuldades de instalação e manutençãodificuldades de instalação e manutenção

ataques ao próprio sistemaataques ao próprio sistema

desempenhodesempenho


Erros que podem ocorrer no sistemaErros que podem ocorrer no sistema

Falso Positivo. Quando o sistema classifica uma ação como Falso Positivo. Quando o sistema classifica uma ação como uma possível intrusão quando, na verdade, trata-se de uma uma possível intrusão quando, na verdade, trata-se de uma ação legítima. Por exemplo, uma carga excessiva de acessos ação legítima. Por exemplo, uma carga excessiva de acessos a uma página web pode ser caracterizada indevidamente como a uma página web pode ser caracterizada indevidamente como um ataque do tipo flood.um ataque do tipo flood.

Falso Negativo. Quando uma intrusão real acontece mas o Falso Negativo. Quando uma intrusão real acontece mas o sistema não é capaz de detectá-la, considerando-a legítima.sistema não é capaz de detectá-la, considerando-a legítima.

Subversão. Quando o intruso modifica a operação do sistema Subversão. Quando o intruso modifica a operação do sistema para forçar a ocorrência de falsos negativos.para forçar a ocorrência de falsos negativos.


Sistema de Prevenção de Intrusão (IPS)

O IPS é um complemento do IDS. Tem a capacidade de:

identificar uma intrusão, analisar a relevância do evento/risco e

bloquear determinados eventos, fortalecendo assim a tradicional técnica

de detecção de intrusos.

Download - Firewalls IDS

Top Related