firewalls ids

Download Firewalls  IDS

Post on 02-Jan-2016

23 views

Category:

Documents

3 download

Embed Size (px)

DESCRIPTION

Firewalls IDS. profa_samaris@yahoo.com.br. Definição. Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes. Ponto de conexão entre duas redes não confiáveis. Pode ser um hardware, um software ou ambos. - PowerPoint PPT Presentation

TRANSCRIPT

  • Firewalls

    IDSprofa_samaris@yahoo.com.br

  • Definio Mecanismo de defesa cuja funo bsica a de restringir o fluxo de dados entre duas redes.

    Ponto de conexo entre duas redes no confiveis.

    Pode ser um hardware, um software ou ambos.

    Permite que a comunicao seja monitorada e segura.

  • Propriedades

    Todo trfego deve passar pelo firewall. Somente o trfego autorizado pode passar para a rede monitorada. O firewall propriamente dito pode ser considerado imune de invases. Ele deve garantir a poltica de segurana. Seu mais eficiente do que espalhar decises e tecnologias de segurana. Limita a exposio. Permite rastreamento: . origem das conexes;. quantidade de trfego no servidor; . tentativa de quebra do sistema.

  • No oferece proteo contra:

    Ataques internos maliciosos.

    Conexes que no passam pelo firewall.

    Ameaas totalmente novas.

    Vrus.

  • Exemplo de Estrutura

    Roteador. PC para controle com sistema operacional adequado. Conjunto de hosts.

    Obs.:Roteador (do ingls router - encaminhador): dispositivo usado para fazer a comutao de protocolos (comunicao entre diferentes redes de computadores, distantes entre si).Operam na camada 3 do modelo OSI. Seleciona a rota mais apropriada para encaminhar os pacotes recebidos (o melhor caminho disponvel na rede para um determinado destino).Host qualquer mquina ou computador conectado a uma rede.

  • Rede protegida por firewall

  • TecnologiaEstticapermitir qualquer servio a menos que ele seja expressamente negado.negar qualquer servio a menos que ele seja expressamente permitido.Dinmicapermitir/negar qualquer servio para quando e por quanto tempo desejar.

  • FirewallsComo funciona

  • FirewallsRede protegida por firewall

  • FirewallsRede protegida por firewall

  • FirewallsFuncionalidades de um firewall Atua como uma barreira entre duas ou mais redesPermite bloquear a entrada e/ou a sada de pacotesPossibilita a configurao de logs e alarmesConverso de endereos de rede IP (NAT)Criptografia e autenticaoAdministrao local e remotaIntegrao com aplicativos de segurana (IDS, anti-virus)

  • FirewallsConexes de entrada (INPUT) So as que vem de fora com destino direto rede a ser protegida. Conexes de sada (OUTPUT) So exatamente o inverso, partindo da rede protegida com destino a um host (servidor) remoto. Conexes de redirecionamento (FORWARD)Vem de fora (redes externas ou internas) e entram na rede protegida, porm elas devem ser encaminhadas a outro host. O encaminhamento de pacotes geralmente aparece em redes internas, onde o acesso web feito via NAT (Network Address Translation).

  • FirewallsPortas TCP e UDPTanto os protocolos de rede TCP (o mais comum) e UDP (usado muito em contedo streaming, entre outras funes) oferecem uma srie de portas lgicas para que os diferentes protocolos de transmisso de dados (HTTP, FTP, POP, etc.) possam operar. So 65535 portas TCP mais 65535 portas UDP. Cada protocolo de dados usa uma porta especfica: HTTP usa a porta 80 TCP, FTP usa as portas 20 (em modo FTP ativo) e 21 TCP (tanto no modo Ativo quanto Passivo), POP usa a porta 110 TCP, e assim por diante.

  • FirewallsPortas TCP e UDPPara que um aplicativo servidor de pginas Web funcione (Apache, IIS, Tomcat, etc.), por exemplo, necessrio configurar o sistema de forma que a porta 80 aceite conexes de entrada; para configurar o Terminal Services do Windows Server, necessrio liberar conexes entrantes na porta 3389 TCP; e assim por diante. No possvel se conectar em portas fechadas, a no ser que voc se aproveite de alguma vulnerabilidade do protocolo TCP/IP.

  • FirewallsPortas abertas, fechadas e filtradasPara que uma tarefa de servidor aceite conexes entrantes, necessrio que a porta correspondente ao servio esteja aberta (OPEN). Quando ela est fechada (CLOSED), no permitido conexes de entrada. O modo filtrado (FILTERED, ou STEALTHED ou ainda BLOCKED) no s fecha a porta como impede que um acesso externo consulte a situao dela ou tente realizar conexes. Um bom firewall deve filtrar as portas no usadas, pois ainda que elas estejam fechadas, possvel se aproveitar de alguma vulnerabilidade do protocolo TCP/IP para forar a entrada.

    Stealth - cautela

  • FirewallsEscopoDefine o campo de atuao de uma determinada regra de firewall. Exemplos: Liberar apenas uma porta especfica web, enquanto que as demais devero ser visveis apenas rede interna. Liberar o acesso porta 23 (telnet) apenas ao IP do administrador.

  • FirewallsEscopoPara implementar essas restries necessrio definir o escopo para cada uma das regras do firewall. Ele formado pelo nmero IP, e pode ser acrescida a mscara de rede, de forma a abrir ou restringir o acesso todos os hosts daquela faixa de IP. Exemplos de IPs e suas respectivas mscaras so: 192.168.0.0/16 (o mesmo que 192.168.0.0/255.255.255.0), 172.16.0.0/24 (ou 172.16.0.0./255.255.0.0) e 10.0.0.0/32 (ou 10.0.0.0/255.0.0.0). Para liberar/bloquear a porta a todos, geralmente no necessrio especificar o escopo, ou deve-se usar 0.0.0.0/0.0.0.0.

  • FirewallsArquitetura interna de um firewall Filtros de pacotes (Packet filtering)Gateway de aplicao (Application gateway layer)Inspeo completa de estados (Full state inspection)

  • Arquitetura interna de um firewall Filtros de pacotes (Packet filtering)

    Filtragem baseada em endereos fonte e destino portas fonte e destino protocolo flags tipo da mensagem.Filtragem baseada em:. endereos fonte e destino;. portas fonte e destino;. protocolo;. flags;. tipo da mensagem.

  • FirewallsArquitetura interna de um firewall Gateway de aplicao (Application gateway layer)

  • FirewallsArquitetura interna de um firewall Inspeo completa de estado (Full state inspection)

  • FirewallsArquitetura interna de um firewall Computer Networks - Tanenbaum

  • FirewallsVantagens x Desvantagens

    Filtro de pacotesBaixo custoTransparente para aplicaoBaixa seguranaSujeito a IP spoofingFiltra somente at a camada 3Gateway de aplicaoBom nvel de seguranaVerificao na camada de aplicaoBaixa performancePouca escalabilidadeNo transparenteInspeo de estadoBom nvel de seguranaVerificao em todas as camadasBoa performanceAlto custo

  • FirewallsModelos de implementao Screening routerDual-homed hostScreened hostScreened subnet

  • FirewallsModelos de implementao Screening routerEssa a maneira mais simples de se implementar um Firewall, pois o filtro, apesar de ser de difcil elaborao, rpido de se implementar e seu custo baixo, entretanto, se as regras do roteador forem quebradas, a rede da empresa ficar totalmente vulnervel.

  • FirewallsModelos de implementao Screening routerVantagens: Baixo custo, Alto desempenhoDesvantagens: Nvel bsico de proteo, no permite muita flexibilidade na configurao.

  • FirewallsModelos de implementao Dual homed hostUma nica mquina com duas interfaces de rede entre a Internet e a rede da empresa. Quase sempre, esse Gateway, chamado de Bastion Host conta com um Proxy de circuito para autenticar o acesso da rede da empresa para a internet e filtrar o acesso da Internet contra a rede da empresa.

  • FirewallsModelos de implementao Dual Homed HostVantagens: Maior nvel de controleDesvantagens: Menor desempenho

  • rede interna

  • FirewallsA primeira camada, a rede externa, que est interligada com a Internet atravs do roteador, nesta camada a rede s conta com o "filtro de pacotes". A segunda camada, a rede interna, e quem limita os acessos neste ponto um Bastion Host com um Proxy Firewall, pois nele, temos um outro filtro de pacotes alm de mecanismos de autenticao da prpria rede interna.Modelos de implementao Screened host gateway

  • FirewallsDefine uma camada extra de segurana ao isolar um permetro da rede tanto da rede externa quanto da rede interna.Modelos de implementao Screened subnet

  • FirewallsModelos de implementao DMZ Demilitarized ZoneUtilizada em servios muito visados. Constitui uma barreira entre os servios internos e os pblicos, ou seja, uma pequena rede situada entre uma rede confivel e uma no confivel, geralmente entre a rede local e a Internet, com funo de manter todos os servios que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrnico, etc.), separados da rede local, limitando o potencial dano em caso de invaso. Para atingir este objetivo os computadores presentes em uma DMZ no devem conter nenhuma forma de acesso rede local!

  • FirewallsProblemas relativos a firewallsSpoofing de endereos de origemFlooding de pedidos de conexoArquivos cifrados ou imagens de textos Conexes paralelas na rede internaAtaques atravs de conexes permitidas

  • Mltiplos BHsrede internaFTPrede perimetral - DMZSMTP2WWWdesempenho, redundncia, separao de dados e servios

  • rede internaexternointernobastion hostDMZ externaDMZ internaquebra no permite visibilidade do trfego da rede interna

  • Sistemas de Deteco de Intruso - IDSDefiniesIntrusoQualquer pessoa tentando obter acesso indevido ou utilizando de forma inadequada um sistema ou recurso (com o intuito de torn-lo indisponvel ou obter informaes confidenciais?).

    Deteco de IntrusoProcesso de identificar e responder a atividades maliciosas dirigidas a computadores e recursos de rede. Coletar informaes de sistemas ou redes e analis-las buscando sinais de intruso e de mau-uso.

  • DefiniesAtaques- Probe: acessar um alvo para determinar suas caractersticas- Scan: acessar um conjunto de alvos de forma seqencial, visando identificar a existncia de determinadas caractersticas em cada um desses alvos- Flood: acessar repetidamente um alvo, causando uma sobrecarga na sua capacidade de