1 / 73

Firewalls

Firewalls. Introdução. Alto índice de ataques a redes; Necessidade de controle de tráfego; Garantir integridade aos serviços; Alta demanda dos serviços da Internet. Firewall . Definição de Firewall; Funções do Firewall; Estrutura de um Firewall; Classificação básica.

coral
Download Presentation

Firewalls

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Firewalls

  2. Introdução • Alto índice de ataques a redes; • Necessidade de controle de tráfego; • Garantir integridade aos serviços; • Alta demanda dos serviços da Internet.

  3. Firewall • Definição de Firewall; • Funções do Firewall; • Estrutura de um Firewall; • Classificação básica.

  4. Definição de Firewall • Um sistema de Firewall pode ser definido como um dispositivo que combina hardware e software para segmentar e controlar o acesso entre redes de computadores distintas. • Os sistemas de firewall são a primeira barreira contra os possíveis atacantes de um sistema computacional ou redes de computadores, devido a seu histórico de utilização e eficácia no cumprimento de sua função.

  5. Princípios Básicos • Toda solicitação chega ao Firewall; • Somente tráfego autorizado passa pelo Firewall; • O próprio Firewall deve ser imune a penetração.

  6. O que um Firewall pode fazer? • É um foco para a tomada de decisões; • Pode ser usado como um ponto de partida para a política de segurança; • Pode gravar requisições; • Limita a exposição da rede;

  7. O que um Firewall não pode fazer? • Proteger uma rede contra usuários internos; • Proteger uma rede contra conexões que não passam por ele; • Proteger contra ameaças completamente novas; • Proteger contra vírus.

  8. Tipos de Firewall • Existem os seguintes tipos de firewall: • Filtro de Pacotes; • Filtros de Pacotes Baseados em Estados; • Servidores Proxy; • Firewalls Híbridos; • Firewalls Reativos; • Firewall Pessoais.

  9. Filtro de Pacotes • Filtrar = peneirar, separar; • Controle do tráfego que entra e sai; • Filtro de pacotes em roteadores; • Incrementa a segurança; • Transparente aos usuários; • Grande variedade no mercado.

  10. Filtro de Pacotes (cont.) • Conhecidos também por static packet filtering, devido à utilização de regras estáticas para filtragem de pacotes, são o tipo de firewall mais simples existente, sendo fácil, barato e flexível de serem implementados. • A análise é feita baseada nas camadas de rede e de transporte da pilha TCP/IP.

  11. Filtro de Pacotes (cont.) • As regras dos filtros são baseadas em: • Endereço IP de origem; • Endereço IP de destino; • Protocolos TCP, UDP, ICMP; • Portas TCP ou UDP origem; • Portas TCP ou UDP destino; • Tipo de mensagem ICMP.

  12. Filtro de Pacotes (cont.) • Normalmente esse tipo de firewall possui um maior desempenho em relação aos outros tipos existentes, justamente pela análise simples,fácil e rápida, fato que contribui para que esse tipo de firewall fossem incorporados a alguns roteadores.

  13. Filtro de Pacotes (cont.) • Vantagens: • Simples e flexível; • Baixo Custo; • Desempenho melhor se comparado a outros tipos de firewall; • É bom para o gerenciamento de tráfego; • É transparente ao usuário; • Regras utilizadas são simples de serem criadas.

  14. Filtro de Pacotes (cont.) • Desvantagens: • Muito vulnerável aos ataques que exploram as deficiências do protocolo TCP/IP; • Não possui autenticação de usuários; • Impossibilidade de bloqueio de ataques que exploram serviços das camadas superiores; • Permite conexão direta entre hosts internos e externos; • É difícil de gerenciar em ambientes complexo; • Dificuldade e filtrar serviços que utilizam portas dinâmicas.

  15. Filtro de Pacotes Baseados em Estados • Stateful packet filter; • São uma evolução dos filtros de pacotes, pois, associados à tabela de regras, eles possuem uma tabela de estados, que auxiliam na tomada de decisões de filtragem. • Também são conhecidos como dynamic packet filter.

  16. Filtro de Pacotes Baseados em Estados (cont.) • A grande diferença entre o filtro de pacotes e o filtro de pacotes baseados em estados reside no fato de que agora as conexões são monitoradas a toda instante, o que significa que os pacotes só podem passar pelo firewall se fizerem parte de uma sessão registrada na tabela de estados.

  17. Filtro de Pacotes Baseados em Estados (cont.) • Funcionamento: • O firewall monitora as conexões. • Ele submete apenas os pacotes SYN (pacotes para início de conexão TCP) às regras de filtragem. • Caso o pacote SYN seja aceito ele permite que os pacotes seguintes sejam verificados através da tabela de estados. • Como o protocolo UDP não utiliza o conceito de conexão, o filtro baseado em estados armazena informações de contexto para que possa manter uma conexão virtual e poder verificar quais pacotes fazem parte da mesma.

  18. Servidores Proxy • Fazem a intermediação entre um host cliente e um servidor externo, não permitindo conexões diretas entre os mesmos. • O cliente se conecta a uma porta TCP do firewall e este abre uma conexão com o servidor externo. • Circuitlevel gateway: trabalham nas camadas de sessão ou transportes. • Applicationlevel gateway: trabalham na camada de aplicação.

  19. Servidores Proxy(cont.) • Ilustração do funcionamento

  20. Vantagens dos Proxies • Não permissão de conexões diretas entre servidores externos e hosts internos; • Capacidade de manter logs detalhados sobre o tráfego de atividades específicas; • Possibilidade de autenticação de usuários; • Possibilidade de análise de comandos de aplicação.

  21. Desvantagens dos Proxies • Não tratamento de pacotes ICMP; • Maior lentidão em relação aos firewalls de filtro de pacotes.

  22. Firewalls Hibrídos • A maioria dos firewalls podem ser classificados como Filtro de Pacotes ou Servidores Proxy; • Outros tipos de firewalls oferecem uma combinação entre estes dois.

  23. Firewalls Hibrídos • Ilustração exemplo

  24. Firewalls Reativos • Evolução dos firewalls convencionais, contam com tecnologias como detecção de intrusão e disparo de alarmes. • A grande vantagem desses dispositivos está na capacidade de mudar suas próprias configurações de forma dinâmica e permitir alertar o administrador do sistema sobre o que ocasionou tal mudança; • Apesar de conseguir identificar e corrigir uma maior quantidade de problemas de segurança, o firewall reativo herda desvantagens das tecnologias que utiliza, como por exemplo certa vulnerabilidade a ataques de DoS.

  25. Firewalls Pessoais • Não protegem um segmento de rede, mas sim o equipamento onde estão instalados, ou seja provém proteção pessoal; • Normalmente são utilizados para proteger hosts que não fazem parte de uma rede específica, mas que utilizam um canal de comunicação com a internet.

  26. Arquiteturas de Firewalls • Disposição dos equipamentos que compõe a rede e do próprio firewall; • Existem inúmeras possibilidades o que permite o surgimento de novos conceitos como DMZ e bastion hosts. • DMZ ou zona desmilitarizada: é uma área que fica entre uma rede interna (rede a ser protegida) e a rede externa (a internet por exemplo).

  27. Firewalls Bation Hosts • Hosts fortemente protegidos; • Único computador da rede que pode ser acessado pelo lado de fora do firewall; • Pode ser projetado para ser um servidor Web, servidor FTP, dentre outros.

  28. Firewalls Bastion Hosts

  29. Firewalls Bastion Hosts (cont.) HoneyPot: • Chamariz para crackers; • Função de coletar dados de tentativas de invasão; • Ferramentas de registros de logs são matidas o mais seguro possível.

  30. Arquiteturas de Firewalls(cont.) • Existem três arquiteturas de firewall clássicas: • Dual-homed host architecture; • Screened host architectures; • Screened subnet archetecture.

  31. Arquitetura Dual-homed host • Simples de ser implementada, consiste na separação entre rede interna da organização da rede externa, que pode ser a Internet, por meio de uma máquina que contenha duas interfaces de rede. • Normalmente a utilização de um proxy é necessária, pois um host interno deve primeiro se conectar ao firewall para que o mesmo faça a conexão com o servidor externo.

  32. Arquitetura Dual-homed host Firewall

  33. Arquitetura Screened Host • Utiliza um firewall do tipo filtro de pacotes, um bastion host que pode funcionar como um proxy. • O filtro de pacotes deve possuir regras que impeçam a comunicação direta entre um servidor externo e um host interno e vice-versa, ou permitir apenas alguns casos específicos definidos pelo administrador.

  34. Arquitetura Screened Host

  35. Arquitetura Screened Subnet • Considerada a mais segura de todas; • Faz uso de uma DMZ que abriga o bastion host, portanto se o bastion host for comprometido a rede interna continua protegida; • O bastion host fica confinado dentro de uma DMZ que é isolada por dois firewalls do tipo filtro de pacotes, assim é necessário que um atacante passe por dois firewalls para que o mesmo tenha acesso a rede interna da organização.

  36. Arquitetura Screened Subnet

  37. Arquitetura Screened Subnet • Uma variação típica dessa arquitetura pode ser feita utilizando-se apenas um firewall contendo três interfaces de rede o que produz um resultado conceitualmente igual, pois em cada interface de rede funciona um filtro de pacotes.

  38. Sistemas de Detecção de Intrusão IDS/IPS

  39. Intrusos • Intrusos são os invasores de um sistema e se classificam de três maneiras: • Mascarado (invasor de fora da rede ou sistema): Invasor que não está autorizado a entrar no sistema e o invade para obter privilégios de um usuário legítimo; • Infrator (invasor de dentro da rede): É um usuário real ou legítimo que não está autorizado a usar determinados recursos, mas os utiliza, ou então, que está autorizado, mas não os utiliza de forma lícita; • Usuário clandestino (invasor de dentro ou de fora da rede): Invasor que toma posse de privilégios de administrador de um sistema para que se esquive de auditorias e controles para acesso ou até mesmo para ludibriar provas auditórias contra este.

  40. Técnicas de Intrusão • O principal objetivo de um intruso é aumentar alguns privilégios dentro de um sistema. Porém, esses privilégios são protegidos por senhas de usuário. Mas se um invasor tem acesso a estas senhas ele pode obter estes privilégios. O administrador mantém essas senhas em um arquivo, por isso é necessário que este esteja bem protegido. Abaixo segue duas maneiras de se proteger esse arquivo de senhas: • Função unidirecional ou não reversível: A partir da entrada de uma senha o sistema a transforma em um valor de tamanho fixo que não pode ser revertido. Assim, o sistema não necessita de armazenar as senhas, mas somente os valores gerados a partir das mesmas. • Controle de acesso: Neste caso se limita ao extremo o acesso ao arquivo de senhas.

  41. Técnicas para descoberta de senhas • Tentar senhas padrão geralmente entregues com o sistema; • Tentar senhas curtas; • Tentar palavras de dicionários on-line; • Tentar senhas com informações sobre seus usuários; • Tentar números de placa de automóveis; • Usar Cavalo-de-Tróia para ludibriar restrições de acesso; • Utilizar-se de escutas clandestinas entre acesso remoto e sistemas fixos;

  42. O que é IDS? • O IDS tem por finalidade detectar uma ameaça ou intrusão na rede. Pode se dizer por analogia que o IDS é como se fosse um alarme de um carro que soa quando alguém abre sua porta. • A monitoração e a detecção de intrusos eficientes são tão importantes quanto chaves e cadeados em nossas casas, assim como firewalls em nossas redes.

  43. O que é IPS? • O IPS complementa um IDS bloqueando a intrusão e impedindo um dano maior para a rede. • É uma ferramenta que detecta e bloqueia o invasor. Como foi dito o IDS é como se fosse um alarme de um carro que somente soa quando alguém abre sua porta. • Já o IPS dispara o alarme e também trava as rodas para que o invasor não leve o carro. • Uma boa forma de se obter segurança em uma rede é fazer a prevenção de invasões. Porém para a instalação de um IPS deve-se levar em conta que temos um sistema limpo, ou seja, não esteja comprometido e deve-se possuir um conhecimento amplo do estado do sistema para que não se tenha problema posterior.

  44. O que é IPS? (cont.) • Para que o administrador da rede possa tomar alguma atitude quanto a uma invasão, deve-se obter informações no momento exato da invasão. • A partir da detecção, um IPS executará ações para interromper o ataque e evitar ataques futuros. • Essas ações podem ser desde o cancelamento de uma conexão até uma reconfiguração do firewall para interromper o ataque.

  45. IDS - Funcionamento e composição • O IDS faz análises na rede e no Sistema Operacional, verificando as atividades dos usuários, excesso de conexões, volume de dados, serviços de rede e etc. Esses dados são guardados em uma base de dados para que posteriormente de acordo com a configuração do sistema este possa alertar uma intrusão ou ameaça.

  46. Terminologia referente a IDS/IPS • Alertas/Eventos • É um aviso gerado pelo IDS quando este detecta determinada invasão. Este alerta pode ser dado tanto local quanto remotamente. • Evasão • É um ataque ao IDS sem que este detecte o mesmo, é uma maneira que se encontra de ludibriar o sistema. • Fragmentação • Fragmentação é uma maneira de dividir os pacotes de tal forma que não ultrapasse o limite da rede. A fragmentação é utilizada para a evasão ou também em ataques de negação de serviço. • Assinaturas • Assinaturas são ataques conhecidos. Através das assinaturas ou regras pode-se gerar os alertas para atividades suspeitas. É feita comparação dos dados com as assinaturas e aí são gerados os alertas.

  47. Por que usar um IDS? • A resposta mais direta seria proteger os dados e a integridade do sistema. • Para se ter proteção de integridade quanto a intrusos na Internet, somente senhas e segurança de arquivos não são suficientes. Devemos ter um bom sistema de segurança para a proteção dos dados. • É importante que o sistema previna acessos a arquivos críticos ou bancos de dados de autenticação.

  48. Situações detectadas pelas ferramentas de IDS • Scans: verifica se há portas do sistema que se encontram abertas; • Ataques de comprometimento: o invasor obtém um Shell (terminal) com privilégios de root (superusuário, permite fazer qualquer tipo de alteração no sistema) para explorar vulnerabilidades; • Ataques Denialof Service (DoS): é enviado um grande número de pacotes para sobrecarregar o desempenho do sistema comprometido .

  49. Composição do IDS • Um dispositivo de acumulo de informações: Esse dispositivo deve ser capaz de colher dados. Por exemplo, ele deve ser capaz de detectar mudanças em um disco rígido, capturar pacotes em uma rede etc; • Um mecanismo para monitoração de processos: Um IDS deve ser capaz de monitorar a si mesmo e a rede a qual está protegendo, fazendo verificações constantes, para que possa enviar informações para o administrador.

  50. Composição do IDS • Capacidade de armazenamento de informações: A partir do momento que as informações foram capturadas pelo dispositivo de acumulo de informações essas informações devem ser armazenadas em algum lugar; • Dispositivo de controle e comando: No que se diz respeito a controle e comando o IDS deve ser fácil de controlar seu comportamento; • Um dispositivo de análise: Deve-se ter um dispositivo de análise para o administrador poder analisar seu acervo de dados utilizando um aplicativo.

More Related