Firewalls IDS

1. Firewalls IDS profa_samaris@yahoo.com.br

2. Definição • Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes. • Ponto de conexão entre duas redes não confiáveis. • Pode ser um hardware, um software ou ambos. • Permite que a comunicação seja monitorada e segura.

3. protege o gateway de ataques • uma máquina • conjunto de máquinas • que oferece(m) serviços através de proxy Filtro Filtro Gateway(s) rede interna Internet

4. zona desmilitarizada (DMZ) • gateway + gateway interno protege o gateway de ataques • uma máquina • conjunto de máquinas • que oferece(m) serviços através de proxy Filtro Filtro Gateway(s) rede interna Internet

5. Propriedades • Todo tráfego deve passar pelo firewall. • Somente o tráfego autorizado pode passar para a rede monitorada. • O firewall propriamente dito pode ser considerado imune de invasões. • Ele deve garantir a política de segurança. • Seu é mais eficiente do que espalhar decisões e tecnologias de segurança. • Limita a exposição. • Permite rastreamento: • . origem das conexões; • . quantidade de tráfego no servidor; • . tentativa de quebra do sistema.

6. Não oferece proteção contra: • Ataques internos maliciosos. • Conexões que não passam pelo firewall. • Ameaças totalmente novas. • Vírus.

7. Exemplo de Estrutura • Roteador. • PC para controle com sistema operacional adequado. • Conjunto de hosts. • Obs.: • Roteador (do inglês router - encaminhador): dispositivo usado para fazer a comutação de protocolos (comunicação entre diferentes redes de computadores, distantes entre si). • Operam na camada 3 do modelo OSI. Seleciona a rota mais apropriada para encaminhar os pacotes recebidos (o melhor caminho disponível na rede para um determinado destino). • Host é qualquer máquina ou computador conectado a uma rede.

8. Rede protegida por firewall

9. Tecnologia • Estática • permitir qualquer serviço a menos que ele seja expressamente negado. • negar qualquer serviço a menos que ele seja expressamente permitido. • Dinâmica • permitir/negar qualquer serviço para quando e por quanto tempo desejar.

10. Firewalls Como funciona

11. Firewalls Rede protegida por firewall

12. Firewalls Rede protegida por firewall

13. Firewalls Funcionalidades de um firewall Atua como uma barreira entre duas ou mais redes Permite bloquear a entrada e/ou a saída de pacotes Possibilita a configuração de logs e alarmes Conversão de endereços de rede IP (NAT) Criptografia e autenticação Administração local e remota Integração com aplicativos de segurança (IDS, anti-virus)

14. Firewalls Conexões de entrada (INPUT) São as que vem de fora com destino direto à rede a ser protegida. Conexões de saída (OUTPUT) São exatamente o inverso, partindo da rede protegida com destino a um host (servidor) remoto. Conexões de redirecionamento (FORWARD) Vem de fora (redes externas ou internas) e entram na rede protegida, porém elas devem ser encaminhadas a outro host. O encaminhamento de pacotes geralmente aparece em redes internas, onde o acesso à web é feito via NAT (Network Address Translation).

15. Firewalls Portas TCP e UDP Tanto os protocolos de rede TCP (o mais comum) e UDP (usado muito em conteúdo streaming, entre outras funções) oferecem uma série de portas lógicas para que os diferentes protocolos de transmissão de dados (HTTP, FTP, POP, etc.) possam operar. São 65535 portas TCP mais 65535 portas UDP. Cada protocolo de dados usa uma porta específica: HTTP usa a porta 80 TCP, FTP usa as portas 20 (em modo FTP ativo) e 21 TCP (tanto no modo Ativo quanto Passivo), POP usa a porta 110 TCP, e assim por diante.

16. Firewalls Portas TCP e UDP Para que um aplicativo servidor de páginas Web funcione (Apache, IIS, Tomcat, etc.), por exemplo, é necessário configurar o sistema de forma que a porta 80 aceite conexões de entrada; para configurar o Terminal Services do Windows Server, é necessário liberar conexões entrantes na porta 3389 TCP; e assim por diante. Não é possível se conectar em portas fechadas, a não ser que você se aproveite de alguma vulnerabilidade do protocolo TCP/IP.

17. Firewalls Portas abertas, fechadas e filtradas Para que uma tarefa de servidor aceite conexões entrantes, é necessário que a porta correspondente ao serviço esteja aberta (OPEN). Quando ela está fechada (CLOSED), não é permitido conexões de entrada. O modo filtrado (FILTERED, ou STEALTHED ou ainda BLOCKED) não só fecha a porta como impede que um acesso externo consulte a situação dela ou tente realizar conexões. Um bom firewall deve filtrar as portas não usadas, pois ainda que elas estejam fechadas, é possível se aproveitar de alguma vulnerabilidade do protocolo TCP/IP para forçar a entrada. Stealth - cautela

18. Firewalls Escopo Define o campo de atuação de uma determinada regra de firewall. Exemplos: • Liberar apenas uma porta específica à web, enquanto que as demais deverão ser visíveis apenas à rede interna. • Liberar o acesso à porta 23 (telnet) apenas ao IP do administrador.

19. Firewalls Escopo Para implementar essas restrições é necessário definir o escopo para cada uma das regras do firewall. Ele é formado pelo número IP, e pode ser acrescida a máscara de rede, de forma a abrir ou restringir o acesso à todos os hosts daquela faixa de IP. Exemplos de IPs e suas respectivas máscaras são: 192.168.0.0/16 (o mesmo que 192.168.0.0/255.255.255.0), 172.16.0.0/24 (ou 172.16.0.0./255.255.0.0) e 10.0.0.0/32 (ou 10.0.0.0/255.0.0.0). Para liberar/bloquear a porta a todos, geralmente não é necessário especificar o escopo, ou deve-se usar 0.0.0.0/0.0.0.0.

20. Firewalls Arquitetura interna de um firewall Filtros de pacotes (Packet filtering) Gateway de aplicação (Application gateway layer) Inspeção completa de estados (Full state inspection)

21. Arquitetura interna de um firewallFiltros de pacotes (Packet filtering)Filtragem baseada em endereços fonte e destino portas fonte e destino protocolo flags tipo da mensagem. • Filtragem baseada em: • . endereços fonte e destino; • . portas fonte e destino; • . protocolo; • . flags; • . tipo da mensagem.

22. Firewalls Arquitetura interna de um firewall Gateway de aplicação (Application gateway layer)

23. Firewalls Arquitetura interna de um firewall Inspeção completa de estado (Full state inspection)

24. Firewalls Arquitetura interna de um firewall Computer Networks - Tanenbaum

25. Firewalls Vantagens x Desvantagens

26. Firewalls Modelos de implementação Screening router Dual-homed host Screened host Screened subnet

27. Internet screening router rede interna Firewalls Modelos de implementação Screening router Essa é a maneira mais simples de se implementar um Firewall, pois o filtro, apesar de ser de difícil elaboração, é rápido de se implementar e seu custo é baixo, entretanto, se as regras do roteador forem quebradas, a rede da empresa ficará totalmente vulnerável.

28. Firewalls Modelos de implementação Screening router Vantagens: Baixo custo, Alto desempenho Desvantagens: Nível básico de proteção, não permite muita flexibilidade na configuração.

29. Firewalls Modelos de implementação Dual homed host Uma única máquina com duas interfaces de rede entre a Internet e a rede da empresa. Quase sempre, esse Gateway, chamado de Bastion Host conta com um Proxy de circuito para autenticar o acesso da rede da empresa para a internet e filtrar o acesso da Internet contra a rede da empresa.

30. Firewalls Modelos de implementação Dual Homed Host Vantagens: Maior nível de controle Desvantagens: Menor desempenho

31. Internet screening router bastion host Screened Host Architecture rede interna

32. Firewalls Modelos de implementação Screened host gateway A primeira camada, é a rede externa, que está interligada com a Internet através do roteador, nesta camada a rede só conta com o "filtro de pacotes".A segunda camada, é a rede interna, e quem limita os acessos neste ponto é um Bastion Host com um Proxy Firewall, pois nele, temos um outro filtro de pacotes além de mecanismos de autenticação da própria rede interna.

33. Firewalls Modelos de implementação Screened subnet Define uma camada extra de segurança ao isolar um perímetro da rede tanto da rede externa quanto da rede interna.

34. Firewalls Modelos de implementação DMZ – Demilitarized Zone Utilizada em serviços muito visados. Constitui uma barreira entre os serviços internos e os públicos, ou seja, é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet, com função de manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc.), separados da rede local, limitando o potencial dano em caso de invasão. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local!

35. bastion host Internet rede perimetral - DMZ screening router externo screening router interno Screened Subnet Architecture rede interna

36. Internet WWW/FTP externo DMZ externa intermediário Múltiplas Camadas DMZ interna interno rede interna

37. Firewalls Problemas relativos a firewalls Spoofing de endereços de origem Flooding de pedidos de conexão Arquivos cifrados ou imagens de textos Conexões paralelas na rede interna Ataques através de conexões permitidas

38. Múltiplos BHs Internet WWW FTP SMTP2 rede perimetral - DMZ Screened Subnet Architecture desempenho, redundância, separação de dados e serviços rede interna

39. Internet quebra não permite visibilidade do tráfego da rede interna externo DMZ externa bastion host belt suspenders DMZ interna interno rede interna

40. Sistemas de Detecção de Intrusão - IDS Definições Intruso Qualquer pessoa tentando obter acesso indevido ou utilizando de forma inadequada um sistema ou recurso (com o intuito de torná-lo indisponível ou obter informações confidenciais?). Detecção de Intrusão Processo de identificar e responder a atividades maliciosas dirigidas a computadores e recursos de rede. Coletar informações de sistemas ou redes e analisá-las buscando sinais de intrusão e de mau-uso.

41. Sistemas de Detecção de Intrusão - IDS Definições Ataques - Probe: acessar um alvo para determinar suas características - Scan: acessar um conjunto de alvos de forma seqüencial, visando identificar a existência de determinadas características em cada um desses alvos - Flood: acessar repetidamente um alvo, causando uma sobrecarga na sua capacidade de operação - Bypass: evitar um processo pelo uso de um método alternativo de acessar determinado alvo - Spoof: disfarçar-se assumindo a aparência de outra entidade

42. Sistemas de Detecção de Intrusão - IDS Baseados em hosts (exemplo de tipo de arquitetura) Analisam a atividade do sistema através de dados coletados na própria máquina Vantagens: independência de rede detecção de ataques internos reação Desvantagens: dificuldades de instalação e manutenção ataques ao próprio sistema desempenho

43. Sistemas de Detecção de Intrusão - IDS Erros que podem ocorrer no sistema Falso Positivo. Quando o sistema classifica uma ação como uma possível intrusão quando, na verdade, trata-se de uma ação legítima. Por exemplo, uma carga excessiva de acessos a uma página web pode ser caracterizada indevidamente como um ataque do tipo flood. Falso Negativo. Quando uma intrusão real acontece mas o sistema não é capaz de detectá-la, considerando-a legítima. Subversão. Quando o intruso modifica a operação do sistema para forçar a ocorrência de falsos negativos.

44. Sistema de Prevenção de Intrusão (IPS) O IPS é um complemento do IDS. Tem a capacidade de: identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos.