730 likes | 943 Views
Firewalls. Introdução. Alto índice de ataques a redes; Necessidade de controle de tráfego; Garantir integridade aos serviços; Alta demanda dos serviços da Internet. Firewall . Definição de Firewall; Funções do Firewall; Estrutura de um Firewall; Classificação básica.
E N D
Introdução • Alto índice de ataques a redes; • Necessidade de controle de tráfego; • Garantir integridade aos serviços; • Alta demanda dos serviços da Internet.
Firewall • Definição de Firewall; • Funções do Firewall; • Estrutura de um Firewall; • Classificação básica.
Definição de Firewall • Um sistema de Firewall pode ser definido como um dispositivo que combina hardware e software para segmentar e controlar o acesso entre redes de computadores distintas. • Os sistemas de firewall são a primeira barreira contra os possíveis atacantes de um sistema computacional ou redes de computadores, devido a seu histórico de utilização e eficácia no cumprimento de sua função.
Princípios Básicos • Toda solicitação chega ao Firewall; • Somente tráfego autorizado passa pelo Firewall; • O próprio Firewall deve ser imune a penetração.
O que um Firewall pode fazer? • É um foco para a tomada de decisões; • Pode ser usado como um ponto de partida para a política de segurança; • Pode gravar requisições; • Limita a exposição da rede;
O que um Firewall não pode fazer? • Proteger uma rede contra usuários internos; • Proteger uma rede contra conexões que não passam por ele; • Proteger contra ameaças completamente novas; • Proteger contra vírus.
Tipos de Firewall • Existem os seguintes tipos de firewall: • Filtro de Pacotes; • Filtros de Pacotes Baseados em Estados; • Servidores Proxy; • Firewalls Híbridos; • Firewalls Reativos; • Firewall Pessoais.
Filtro de Pacotes • Filtrar = peneirar, separar; • Controle do tráfego que entra e sai; • Filtro de pacotes em roteadores; • Incrementa a segurança; • Transparente aos usuários; • Grande variedade no mercado.
Filtro de Pacotes (cont.) • Conhecidos também por static packet filtering, devido à utilização de regras estáticas para filtragem de pacotes, são o tipo de firewall mais simples existente, sendo fácil, barato e flexível de serem implementados. • A análise é feita baseada nas camadas de rede e de transporte da pilha TCP/IP.
Filtro de Pacotes (cont.) • As regras dos filtros são baseadas em: • Endereço IP de origem; • Endereço IP de destino; • Protocolos TCP, UDP, ICMP; • Portas TCP ou UDP origem; • Portas TCP ou UDP destino; • Tipo de mensagem ICMP.
Filtro de Pacotes (cont.) • Normalmente esse tipo de firewall possui um maior desempenho em relação aos outros tipos existentes, justamente pela análise simples,fácil e rápida, fato que contribui para que esse tipo de firewall fossem incorporados a alguns roteadores.
Filtro de Pacotes (cont.) • Vantagens: • Simples e flexível; • Baixo Custo; • Desempenho melhor se comparado a outros tipos de firewall; • É bom para o gerenciamento de tráfego; • É transparente ao usuário; • Regras utilizadas são simples de serem criadas.
Filtro de Pacotes (cont.) • Desvantagens: • Muito vulnerável aos ataques que exploram as deficiências do protocolo TCP/IP; • Não possui autenticação de usuários; • Impossibilidade de bloqueio de ataques que exploram serviços das camadas superiores; • Permite conexão direta entre hosts internos e externos; • É difícil de gerenciar em ambientes complexo; • Dificuldade e filtrar serviços que utilizam portas dinâmicas.
Filtro de Pacotes Baseados em Estados • Stateful packet filter; • São uma evolução dos filtros de pacotes, pois, associados à tabela de regras, eles possuem uma tabela de estados, que auxiliam na tomada de decisões de filtragem. • Também são conhecidos como dynamic packet filter.
Filtro de Pacotes Baseados em Estados (cont.) • A grande diferença entre o filtro de pacotes e o filtro de pacotes baseados em estados reside no fato de que agora as conexões são monitoradas a toda instante, o que significa que os pacotes só podem passar pelo firewall se fizerem parte de uma sessão registrada na tabela de estados.
Filtro de Pacotes Baseados em Estados (cont.) • Funcionamento: • O firewall monitora as conexões. • Ele submete apenas os pacotes SYN (pacotes para início de conexão TCP) às regras de filtragem. • Caso o pacote SYN seja aceito ele permite que os pacotes seguintes sejam verificados através da tabela de estados. • Como o protocolo UDP não utiliza o conceito de conexão, o filtro baseado em estados armazena informações de contexto para que possa manter uma conexão virtual e poder verificar quais pacotes fazem parte da mesma.
Servidores Proxy • Fazem a intermediação entre um host cliente e um servidor externo, não permitindo conexões diretas entre os mesmos. • O cliente se conecta a uma porta TCP do firewall e este abre uma conexão com o servidor externo. • Circuitlevel gateway: trabalham nas camadas de sessão ou transportes. • Applicationlevel gateway: trabalham na camada de aplicação.
Servidores Proxy(cont.) • Ilustração do funcionamento
Vantagens dos Proxies • Não permissão de conexões diretas entre servidores externos e hosts internos; • Capacidade de manter logs detalhados sobre o tráfego de atividades específicas; • Possibilidade de autenticação de usuários; • Possibilidade de análise de comandos de aplicação.
Desvantagens dos Proxies • Não tratamento de pacotes ICMP; • Maior lentidão em relação aos firewalls de filtro de pacotes.
Firewalls Hibrídos • A maioria dos firewalls podem ser classificados como Filtro de Pacotes ou Servidores Proxy; • Outros tipos de firewalls oferecem uma combinação entre estes dois.
Firewalls Hibrídos • Ilustração exemplo
Firewalls Reativos • Evolução dos firewalls convencionais, contam com tecnologias como detecção de intrusão e disparo de alarmes. • A grande vantagem desses dispositivos está na capacidade de mudar suas próprias configurações de forma dinâmica e permitir alertar o administrador do sistema sobre o que ocasionou tal mudança; • Apesar de conseguir identificar e corrigir uma maior quantidade de problemas de segurança, o firewall reativo herda desvantagens das tecnologias que utiliza, como por exemplo certa vulnerabilidade a ataques de DoS.
Firewalls Pessoais • Não protegem um segmento de rede, mas sim o equipamento onde estão instalados, ou seja provém proteção pessoal; • Normalmente são utilizados para proteger hosts que não fazem parte de uma rede específica, mas que utilizam um canal de comunicação com a internet.
Arquiteturas de Firewalls • Disposição dos equipamentos que compõe a rede e do próprio firewall; • Existem inúmeras possibilidades o que permite o surgimento de novos conceitos como DMZ e bastion hosts. • DMZ ou zona desmilitarizada: é uma área que fica entre uma rede interna (rede a ser protegida) e a rede externa (a internet por exemplo).
Firewalls Bation Hosts • Hosts fortemente protegidos; • Único computador da rede que pode ser acessado pelo lado de fora do firewall; • Pode ser projetado para ser um servidor Web, servidor FTP, dentre outros.
Firewalls Bastion Hosts (cont.) HoneyPot: • Chamariz para crackers; • Função de coletar dados de tentativas de invasão; • Ferramentas de registros de logs são matidas o mais seguro possível.
Arquiteturas de Firewalls(cont.) • Existem três arquiteturas de firewall clássicas: • Dual-homed host architecture; • Screened host architectures; • Screened subnet archetecture.
Arquitetura Dual-homed host • Simples de ser implementada, consiste na separação entre rede interna da organização da rede externa, que pode ser a Internet, por meio de uma máquina que contenha duas interfaces de rede. • Normalmente a utilização de um proxy é necessária, pois um host interno deve primeiro se conectar ao firewall para que o mesmo faça a conexão com o servidor externo.
Arquitetura Dual-homed host Firewall
Arquitetura Screened Host • Utiliza um firewall do tipo filtro de pacotes, um bastion host que pode funcionar como um proxy. • O filtro de pacotes deve possuir regras que impeçam a comunicação direta entre um servidor externo e um host interno e vice-versa, ou permitir apenas alguns casos específicos definidos pelo administrador.
Arquitetura Screened Subnet • Considerada a mais segura de todas; • Faz uso de uma DMZ que abriga o bastion host, portanto se o bastion host for comprometido a rede interna continua protegida; • O bastion host fica confinado dentro de uma DMZ que é isolada por dois firewalls do tipo filtro de pacotes, assim é necessário que um atacante passe por dois firewalls para que o mesmo tenha acesso a rede interna da organização.
Arquitetura Screened Subnet • Uma variação típica dessa arquitetura pode ser feita utilizando-se apenas um firewall contendo três interfaces de rede o que produz um resultado conceitualmente igual, pois em cada interface de rede funciona um filtro de pacotes.
Sistemas de Detecção de Intrusão IDS/IPS
Intrusos • Intrusos são os invasores de um sistema e se classificam de três maneiras: • Mascarado (invasor de fora da rede ou sistema): Invasor que não está autorizado a entrar no sistema e o invade para obter privilégios de um usuário legítimo; • Infrator (invasor de dentro da rede): É um usuário real ou legítimo que não está autorizado a usar determinados recursos, mas os utiliza, ou então, que está autorizado, mas não os utiliza de forma lícita; • Usuário clandestino (invasor de dentro ou de fora da rede): Invasor que toma posse de privilégios de administrador de um sistema para que se esquive de auditorias e controles para acesso ou até mesmo para ludibriar provas auditórias contra este.
Técnicas de Intrusão • O principal objetivo de um intruso é aumentar alguns privilégios dentro de um sistema. Porém, esses privilégios são protegidos por senhas de usuário. Mas se um invasor tem acesso a estas senhas ele pode obter estes privilégios. O administrador mantém essas senhas em um arquivo, por isso é necessário que este esteja bem protegido. Abaixo segue duas maneiras de se proteger esse arquivo de senhas: • Função unidirecional ou não reversível: A partir da entrada de uma senha o sistema a transforma em um valor de tamanho fixo que não pode ser revertido. Assim, o sistema não necessita de armazenar as senhas, mas somente os valores gerados a partir das mesmas. • Controle de acesso: Neste caso se limita ao extremo o acesso ao arquivo de senhas.
Técnicas para descoberta de senhas • Tentar senhas padrão geralmente entregues com o sistema; • Tentar senhas curtas; • Tentar palavras de dicionários on-line; • Tentar senhas com informações sobre seus usuários; • Tentar números de placa de automóveis; • Usar Cavalo-de-Tróia para ludibriar restrições de acesso; • Utilizar-se de escutas clandestinas entre acesso remoto e sistemas fixos;
O que é IDS? • O IDS tem por finalidade detectar uma ameaça ou intrusão na rede. Pode se dizer por analogia que o IDS é como se fosse um alarme de um carro que soa quando alguém abre sua porta. • A monitoração e a detecção de intrusos eficientes são tão importantes quanto chaves e cadeados em nossas casas, assim como firewalls em nossas redes.
O que é IPS? • O IPS complementa um IDS bloqueando a intrusão e impedindo um dano maior para a rede. • É uma ferramenta que detecta e bloqueia o invasor. Como foi dito o IDS é como se fosse um alarme de um carro que somente soa quando alguém abre sua porta. • Já o IPS dispara o alarme e também trava as rodas para que o invasor não leve o carro. • Uma boa forma de se obter segurança em uma rede é fazer a prevenção de invasões. Porém para a instalação de um IPS deve-se levar em conta que temos um sistema limpo, ou seja, não esteja comprometido e deve-se possuir um conhecimento amplo do estado do sistema para que não se tenha problema posterior.
O que é IPS? (cont.) • Para que o administrador da rede possa tomar alguma atitude quanto a uma invasão, deve-se obter informações no momento exato da invasão. • A partir da detecção, um IPS executará ações para interromper o ataque e evitar ataques futuros. • Essas ações podem ser desde o cancelamento de uma conexão até uma reconfiguração do firewall para interromper o ataque.
IDS - Funcionamento e composição • O IDS faz análises na rede e no Sistema Operacional, verificando as atividades dos usuários, excesso de conexões, volume de dados, serviços de rede e etc. Esses dados são guardados em uma base de dados para que posteriormente de acordo com a configuração do sistema este possa alertar uma intrusão ou ameaça.
Terminologia referente a IDS/IPS • Alertas/Eventos • É um aviso gerado pelo IDS quando este detecta determinada invasão. Este alerta pode ser dado tanto local quanto remotamente. • Evasão • É um ataque ao IDS sem que este detecte o mesmo, é uma maneira que se encontra de ludibriar o sistema. • Fragmentação • Fragmentação é uma maneira de dividir os pacotes de tal forma que não ultrapasse o limite da rede. A fragmentação é utilizada para a evasão ou também em ataques de negação de serviço. • Assinaturas • Assinaturas são ataques conhecidos. Através das assinaturas ou regras pode-se gerar os alertas para atividades suspeitas. É feita comparação dos dados com as assinaturas e aí são gerados os alertas.
Por que usar um IDS? • A resposta mais direta seria proteger os dados e a integridade do sistema. • Para se ter proteção de integridade quanto a intrusos na Internet, somente senhas e segurança de arquivos não são suficientes. Devemos ter um bom sistema de segurança para a proteção dos dados. • É importante que o sistema previna acessos a arquivos críticos ou bancos de dados de autenticação.
Situações detectadas pelas ferramentas de IDS • Scans: verifica se há portas do sistema que se encontram abertas; • Ataques de comprometimento: o invasor obtém um Shell (terminal) com privilégios de root (superusuário, permite fazer qualquer tipo de alteração no sistema) para explorar vulnerabilidades; • Ataques Denialof Service (DoS): é enviado um grande número de pacotes para sobrecarregar o desempenho do sistema comprometido .
Composição do IDS • Um dispositivo de acumulo de informações: Esse dispositivo deve ser capaz de colher dados. Por exemplo, ele deve ser capaz de detectar mudanças em um disco rígido, capturar pacotes em uma rede etc; • Um mecanismo para monitoração de processos: Um IDS deve ser capaz de monitorar a si mesmo e a rede a qual está protegendo, fazendo verificações constantes, para que possa enviar informações para o administrador.
Composição do IDS • Capacidade de armazenamento de informações: A partir do momento que as informações foram capturadas pelo dispositivo de acumulo de informações essas informações devem ser armazenadas em algum lugar; • Dispositivo de controle e comando: No que se diz respeito a controle e comando o IDS deve ser fácil de controlar seu comportamento; • Um dispositivo de análise: Deve-se ter um dispositivo de análise para o administrador poder analisar seu acervo de dados utilizando um aplicativo.