Transcript
10/03/2010 Eudes Danilo Mendonça
[email protected] http://www.4shared.com/file/40014575/5e5292cb/Firewall.html
Índice 1. Definição 2. Internet Protocol 3. Gerações dos Firewalls 4. Objetivos, Razões e Limitações do Firewall 5. Algoritmo do Firewall e Portas TCP/IP 6. Filtro de pacotes e Regras de Portas 7. NAT 8. DMZ 9. Intrusão (IDS e IPS) 10. Monitoração
Definição
Definição É o nome dado ao dispositivo de uma rede de computadores que
tem por função regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de dados nocivos ou não autorizados de uma rede a outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP. Elo de ligação de um perímetro protegido (conjunto de redes e máquinas) a uma rede insegura (Internet).
Definição (cont) Existe na forma de software e hardware, ou na
combinação de ambos. A complexidade de instalação depende do tamanho da rede, do volume de regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado.
Quando surgiu ? Os sistemas firewall nasceram no final dos anos 80,
mais em especial em 1988, quando administradores de rede identificaram o que parecia ser uma evolução natural dos vírus de computador Internet Worm. Em menos de 24 horas, o worm escrito por Robert T. Morris Jr disseminou-se por todos os sistemas autônomos da Internet (formado exclusivamente por redes de ensino e governamentais), provocando um verdadeiro apagão na rede.
De onde veio esse nome? Vem do inglês e faz alusão comparativa da função
que este desempenha para evitar o alastramento de dados nocivos dentro de uma rede de computadores, na tradução parede corta-fogo.
Internet Rede “confiável”
Um firewall pode evitar que acessos indevidos sejam feitos a uma rede a partir de outra rede, mas não impede que usuários internos da rede ataquem seus recursos
O que um firewall pode fazer? Um Firewall pode administrar a política de segurança para usuários da rede: - Define quem ou o que pode cruzar as fronteiras entre redes; - Define uma maneira padrão de identificação de usuários. Um Firewall pode manter “logs”: - Logs de passagem; - Logs de ataques; - Alertar o administrador.
de Comunicação Infra-estrutura PROVEDOR
Servidor Web
INTERNET BACKBONES
PROVEDOR
PROVEDOR
Informação e Dados Disponibilizados clientes
clientes
Índice 1.
Definição
2. Internet Protocol 3. 4. 5. 6. 7. 8. 9. 10.
Gerações dos Firewalls Objetivos, Razões e Limitações do Firewall Algoritmo do Firewall e Portas TCP/IP Filtro de pacotes NAT DMZ Monitoração Intrusão
Internet Protocol
Internet Protocol É considerado o protocolo de rede mais
usado pelas empresas, governos e Internet. Suporta muitas aplicações pessoais, técnicas e de negócio, desde o email e processamento de dados até à transferência de som e imagem. O IP permite endereçar, routear e controlar funções de transmissão e de recepção de datagramas sobre uma rede.
Internet Protocol Cada datagrama inclui o seu endereço de
origem e de destino, informação de controlo e algum dado passado de ou para o host. A informação do endereço é usada para determinar o melhor caminho que o pacote pode tomar, para chegar ao seu destino. No entanto, o IP não possui nenhum dado de controle do caminho.
Como trabalho o endereçamento no IP Existe um mecanismo no IP que permite aos
hosts e gateways de fazer o routeamento de um datagrama através de uma rede. Quando o IP recebe um datagrama, verifica o cabeçalho, que faz parte de qualquer datagrama pesquisando pelo número da rede destino e pela tabela de routeamento. Todos os datagramas com endereços locais, são directamente entregues pelo IP, e os externos são re-enviados ao próximo destino baseado na informação da tabela de routeamento.
Como trabalho o endereçamento no IP O IP também monitoriza o tamanho
do datagrama que recebe do host. Se exceder o tamanho permitido pela rede física, o IP parte o datagrama em fragamentos mais pequenos, de acordo com a capacidade da rede. Ao chegar ao destino, os datagramas são reasemblados e entregues ao destinatário.
Como trabalho o endereçamento no IP As ligações IP são controladas pelos endereços
IP. Cada endereço IP é um endereço único na rede que identifica um nó na rede, o qual inclui redes protegidas (LAN’s, WAN’s e Intranets) bem como desprotegidas tais como a Internet. Os endereços IP são usados para routear os pacotes através das redes. O Internet Protocol é as bases do TCP/IP, um conjunto de protocolos criados especialmente para ligar computadores diferentes entre si.
Flags TCP • • • •
RES: Reservado (2 bits) URG: Urgent Point ACK: Acknowlegment 0
4
8
PSH: Push Request RST: Reset Connection SYN: Synchronize Seqüence Number FIN: Mais dados do transmissor
12
Byte 1
16
Byte 2
20
24
Byte 3
Porta de origem
28
31
Byte 4 Porta de destino
Número de Seqüência Número de Confirmação HLEN
Reservado
Janela de Recepção
BITS DE CÓDIGO
Ponteiro de Urgência
Checksum Opções Dados …..
Segurança de Redes de Computadores
18
Índice Definição 2. Internet Protocol 1.
3. Gerações dos Firewalls 4. 5. 6. 7. 8. 9. 10.
Objetivos, Razões e Limitações do Firewall Algoritmo do Firewall e Portas TCP/IP Filtro de pacotes NAT DMZ IDS Monitoração
Gerações de Firewalls 1a.Geração (Filtros de Pacotes) 2a.Geração (Filtros de Estado de Sessão) 3a.Geração (Gateway de Aplicação - OSI) 4a.Geração e subsequentes
Filtros de Pacotes Estes sistemas analisam individualmente os pacotes à
medida em que estes são transmitidos, verificando o acoplamento entre a camada de enlace (camada 2 do modelo ISO/OSI) com a camada de rede (camada 3 do modelo ISO/OSI). As regras podem ser formadas indicando os endereços de rede (de origem e/ou destino) e as portas TCP/IP envolvidas na conexão. A principal desvantagem desse tipo de tecnologia para a segurança reside na falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (IP Spoofing).
Filtragem de Pacotes Aplicati vo
Aplicati vo
Aplicação
Aplicação
TCP
UDP
Aplicação
Sistema operacional
IP FIREWALL PESSOAL Enlace
Placa de rede
Física FIREWALL DE REDE
Progr ama extern o 22
1a.Geração (Filtros de Pacotes ou PacketFiltering Router) A tecnologia foi disseminada em 1988 através de
pesquisa sustentadada pela DEC (Digital Equipment Corporation) O modelo tratava-se de um filtro de pacotes responsável pela avaliação de pacotes do conjunto de protocolos TCP/IP Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo para prova de conceito;
Regras do Modelo Restringir tráfego através de endereço IP de
origem ou destino; Restringir tráfego através da porta (TCP ou UDP) do serviço; Obs - Até hoje este tipo de tecnologia é adotada equipamentos de rede para configurações de acesso simples (as chamadas "listas de acesso" ou "access lists"). O ipchains também é exemplo de um firewall desta geração
Regras do Modelo Regras que vão filtrar pacotes IP e os que não estejam de
acordo com as regras são eliminados: Endereços IP (de origem e/ou destino) Portas de transporte (origem e/ou destino) Sentidos de criação de circuitos virtuais Cabeçalho ICMP Dimensão dos datagramas; As regras baseiam-se em campos incluídos nos cabeçalhos dos pacotes IP, TCP e UDP, como por exemplo o IP Address, o IP Protocol field (que define o protocolo de transporte) e os números das portas do TCP ou UDP (que definem a aplicação destino).
Routers com filtragem de Pacotes (Packet-Filtering Router)
Routers com filtragem de Pacotes (Packet-Filtering Router)
Possíveis Vulnerabilidades: Apesar do principal protocolo de transporte TCP orientar-se a um
estado de conexões, o filtro de pacotes não tinha este objetivo inicialmente Não realizando nenhum tipo de decodificação do protocolo ou análise criteriosa na camada de aplicação O packet filter não se encarrega de examinar nenhum protocolo de nível superior ao nível de transporte, como por exemplo, o nível de aplicação que fica como tarefa dos application gateways (proxy servers). Portanto, qualquer falha de segurança ao nível de aplicação não pode ser evitada utilizando somente um packet filter.
Firewall - Visão tradicional Somente os cabeçalhos dos pacotes são inspecionados Camada
IP Header: Source Address, Dest. Address, TTL, Checksum
de aplição é tratada como uma “caixa preta”
TCP Header: Sequence Number Source Port, Destination Port, Checksum
Application Layer Content: ????????????????????????????? ?? ????????????????????????????? ?? ????????????????????????????? ??
• Pacotes encaminhados com base nos números das portas
– Tráfego seguro ou um ataque na camada de aplicação usam as mesmas portas Tráfego HTTP esperado
Internet
Tráfego de entrada
Tráfego HTTP inesperado Ataques ao WEB Server Tráfego Non-HTTP
Web Server
Filtro de Pacotes ação permite
origem *
porta *
destino *
porta
comentário
25
Interface
de configuração é simples Eficiência na monitoração de portas
Vulnerabilidade
a IP Spoofing Dificuldade em criar regras abrangentes
SMTP port
Desvantagens ou aspectos delicados a ter em conta
As principais desvantagens deste tipo de tecnologia é a falta de
controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (IP Spoofing para serem injectados na sessão. Setup e coerência das regras (baixo nível de abstracção) Granularidade dos critérios de autenticação e autorização Defesa contra certo tipo de ataques e possibilidades de se tomarem medidas: IP spoofing na origem Source Routing Tráfego permitido pode não ser o que se pensa … Um segmento TCP que passou para porta 80 é mesmo tráfego WEB ? Tiny Fragment Attacks / DoS e DDoS
IP Spoofing O IP Spoofing é um ataque que pode ser evitado com a
aplicação do recurso exposto acima. Neste ataque, o intruso tenta passar por um host interno (um host considerado confiável) utilizando o endereço IP deste como o endereço fonte. Se a filtragem é realizada por interface em ambos os sentidos, este ataque não funciona porque um pacote nunca pode chegar do mundo externo (Internet) tendo como endereço fonte o endereço de uma máquina que está na rede interna; ou seja, só poderia chegar àquela interface no outro sentido. Este tipo de ataque está exemplificado na figura a seguir:
IP Spoofing
IP Spoofing No contexto de redes de computadores, IP spoofing é uma técnica
de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP com endereços remetentes falsificados. Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino); não há verificação do remetente — o router anterior pode ser outro, e ao nível do IP, o pacote não tem qualquer ligação com outro pacote do mesmo remetente. Assim, torna-se trivial falsificar o endereço de origem, i.e., podem existir vários computadores a enviar pacotes fazendo-se passar pelo mesmo endereço de origem, o que representa uma série ameaça para os velhos protocolos baseados em autenticação pelo endereço IP.
IP Spoofing Esta técnica, utilizada com outras de mais alto
nível, aproveita-se, sobretudo, da noção de confiabilidade que existe dentro das organizações: supostamente não se deveria temer uma máquina de dentro da empresa, se ela é da empresa. Por outro lado, um utilizador torna-se também confiável quando se sabe de antemão que estabeleceu uma ligação com determinado serviço. Esse utilizador torna-se interessante, do ponto de vista do atacante, se ele possuir (e estiver a usar) direitos privilegiados no momento do ataque.
IP Spoofing
Falsificação de um pacote: A cada pacote enviado estará geralmente associada uma resposta (do protocolo da camada superior) e essa será enviada para a vítima, pelo o atacante que não pode ter conhecimento do resultado exacto das suas acções — apenas uma previsão.
IP Spoofing => Uso de IP falsa.
2a.Geração (Filtros de Estado de Sessão) A tecnologia foi disseminada a partir de estudo
desenvolvido no começo dos anos 90 pelo Bell Labs; Pelo fato do principal protocolo de transporte TCP orientar-se por uma tabela de estado nas conexões, filtro de pacotes não eram suficientemente efetivos se não observassem estas características; Foram chamados também de Firewall de circuito.
Regras Típicas na 2a.Geração Todas as regras da 1a.Geração; Restringir o tráfego para início de conexões Restringir o tráfego de pacotes que não tenham
sido iniciados a partir da rede protegida (ESTABLISHED); Restringir o tráfego de pacotes que não tenham número de sequência corretos;
3a.Geração (Gateway de Aplicação - OSI) Baseado nos trabalhos de Gene Spafford, Marcos Ranum e Bill
Cheswick; Também são conhecidos como "Firewall de Aplicação" ou "Firewall Proxy“; Foi nesta geração que se lançou o primeiro produto comercial em 13 de Junho de 1991 -- o SEAL da DEC; Diversos produtos comerciais surgiram e se popularizaram na década de 90, como os firewalls Raptor, Gauntlet e Sidewinder, entre outros; Obs: Não confundir com o conceito atual de Firewall de Aplicação -- firewalls de camada de Aplicação eram conhecidos desta forma por implementarem o conceito de Proxy e de controle de acesso em um único dispositivo (o Proxy Firewall), ou seja, um sistema capaz de descodificar protocolos na camada de aplicação e interceptar a comunicação entre cliente/servidor para aplicar regras de comunicação
Gateway de Nível de Aplicação (Application-Level Gateway) – Proxy
Regras Típicas na 3a.Geração Todas as regras das gerações anteriores; Restringir acesso FTP a usuários anônimos; Restringir acesso HTTP para portais de
entretenimento; Restringir acesso a protocolos desconhecidos na porta 443 (HTTP/S);
Gateway de Nível de Aplicação (Application-Level Gateway) – Proxy Vantagens principais: Geralmente uma solução mais segura
do que um Packet-Filtering Router Melhor gestão de controlo de acessos Melhores características para monitorização e auditoria de controlo de acessos
Gateway de Nível de Aplicação (Application-Level Gateway) – Proxy Limitações a ter em conta: Mais complexos (nota: mais funcionalidade
pode originar vulnerabilidades) Mais processamento adicional: processamento ligação a ligação – aplicação a aplicação) Eventuais problemas de carga e desempenho
Servidor Proxy/ Gateway de Aplicação
host externo
telnet ftp smtp http
host interno
Configuração exige menos combinações Tende a ser mais segura Auditoria mais simples
Overhead intrínseco a cada conexão Funciona apenas para aplicações conhecidas
Servidor Proxy/ Gateway de Aplicação 1*
1
1024
1024 8080 2
1025 1026
1024
1025
3
80 2* 80 3*
Proxy Socks X Proxy de Aplicação O proxy de aplicação localiza o Servidor de Destino analisando as informações do protocolo de aplicação. Get http:www.pucpr.br Aplicação ProxyEnabled
1024
1080
Proxy de Aplicação
1024
Server
80
O cliente SOCKS inclui automaticamente informações adicionais (durante a conexão TCP ou nos pacotes UDP), que são utilizadas pelo Proxy SOCKs para localizar o Servidor de Destino. CONNECT: IP_Destino, Porta_Destino, UserID Cliente Socks
1024
1080
Socks Proxy
1024
80
Server
Funcionamento de um Proxy de Aplicação
Servidor Proxy servidor proxy: Dispositivo responsável por intermediar a
conexão entre os hosts internos e o mundo externo. O servidor proxy (procurador) é geralmente implementado através de um computador com duas interfaces de rede, uma conectada a rede interna e a outra a rede externa. Quando um cliente necessita acessar informações de um servidor externo, ele efetua o pedido ao servidor proxy. O servidor proxy, por sua vez, contata o servidor externo e retorna o resultado ao cliente. Nesse procedimento, o único computador da rede exposto ao mundo externo é o servidor proxy.
INTERNET
INTRANET IP FRIO
IP QUENTE
Servidor Proxy servidor proxy: Dispositivo responsável por intermediar a conexão entre os
hosts internos e o mundo externo.
ACESSO AS REDES EXTERNAS
COMPUTADORES INTERNOS NA EMPRESA
IP FRIO
INTRANET
IP QUENTE
INTERNET
Proxy IPQ-D
IPQ-E
IP QUENTE
IPQ-D
IPQ-E
dados
IPF-C
IPF-A
IP FRIO
IPF-A
IPF-C
dados
PROXY
IPQ-D
IPQ-E
Rede Não Protegida
Rede Interna IP frio
IP quente
servidor
dados
ROUTER IPF-D 3
IPQ-E
Internet
2 IPF-C IPQ-D
IPF-B
1 IP quente IPF-A
IPF-A IPF-C
dados
Proxy depende da Aplicação Cada protocolo da camada de aplicação formada seu cabeçalho de maneira diferente. Endereço
Aplicações
DADOS
Protolco de Aplicação HTTP, FTP, SMTP, etc aplicação
TCP, UDP
transporte pacote
IP Data Link Ethernet, Token Ring, FDDI, etc Física
quadro
física
Seqüência de empacotamento
O Proxy Depende da Aplicação Numa rede
conectada através de Proxy, os serviços disponibilizados pelos usuários são limitados aos serviços que o Proxy é capaz de compreender.
PROXY FTP
IP FRIO
INTRANET
PROXY HTTP PROXY SMTP
IP QUENTE
INTERNET
Outras Funções do Proxy Os proxys podem executar ainda as funções de: autenticação cache filtragem de conteúdo
PROXY
Banco de Dados
4a.Geração e subsequentes Os firewalls de estado foram introduzidos
originalmente em 1991 pela empresa DEC com o produto SEAL, porém, não foi até 1994, com os israelenses da Checkpoint, que a tecnologia ganharia maturidade suficiente. O produto Firewall-1 utilizava a tecnologia patenteada chamada de Stateful inspection
4a.Geração e subsequentes (cont) Stateful Inspection para inspecionar pacotes e tráfego de
dados baseado nas características de cada aplicação, nas informações associadas a todas as camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e no estado das conexões e sessões ativas, ou seja, tem capacidade para identificar o protocolo dos pacotes transitados e "prever" as respostas legítimas. Na verdade, o firewall guardava o estado de todas as últimas transações efetuadas e inspecionava o tráfego para evitar pacotes ilegítimos
4a.Geração e subsequentes (cont) Deep Packet Inspection associando as funcionalidades
do Stateful Inspection com as técnicas dos dispositivos IPS (Intrusion Prevention System) ; Detecção e Prevenção de Intrusão para fins de identificar o abuso do protocolo TCP/IP mesmo em conexões aparentemente legítimas; Obs: A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para ser aplicada também em estações de trabalho e computadores domésticos (o chamado Firewall Pessoal"), além do surgimento de soluções de firewall dedicado a servidores e aplicações específicas (como servidores web e banco de dados);
Firewall – Visão Tradicional
Cabeçalho e camada de aplicação são
inspecionados IP Header:
TCP Header: Sequence Number Source Port, Destination Port, Checksum
Source Address, Dest. Address, TTL, Checksum
Application Layer Content: GET www.contoso.com/partners/default.htm
• Encaminhamento com base no conteúdo
– Somente tráfego HTTP legítimo é enviado ao Web server Tráfego HTTP esperado
Internet
Tráfego de entrada
Tráfego HTTP inesperado Ataques ao Web Server Tráfego Non-HTTP
http://www.dominio.com/scripts/..%5c../winnt/system32/ cmd.exe?/c+dir+c:\
Web Server
Firewall SPI A inspeção Stateful é limitada apenas a Version | Service | Total Length Source portas que podem UDP Port ID | Flags | Fragment bloqueadas TTL | Protocol | IP Checksum Sem inspeção de Source IP Address Destination dados! Destination IP Address UDP Port
INSPECT
Source
Destination
212.56.32.49
65.26.42.17
Source Port
Dest Port
823747
80
Sequence
Sequence
28474
2821
Syn state
IP Option
SYN
none
IP Options
Firewall Típico
Stateful Packet Inspection
Os pacotes passam sem inspeção de dados!
Traffic Path 60
Firewall UTM UTM Signatures
Source UDP Port
| |
|
Destination UDP Port
INSPECT INSPECT
ATTACK-RESPONSES 14BACKDOOR 58BAD-TRAFFIC 15DDOS 33DNS 19DOS 18EXPLOIT >35FINGER 13FTP 50ICMP 115Instant Version Service Total Length Messenger 25IMAP 16INFO 7Miscellaneous44MS-SQL 24MSID Flags Fragment SQL/SMB 19MULTIMEDIA 6MYSQL 2NETBIOS 25NNTP 2ORACLE TTL Protocol IP Checksum 25P2P 51POLICY 21POP2 4POP3 18RPC 124RSERVICES 13SCAN Source IP Address 25SMTP 23SNMP 17TELNET Destination IP Address 14TFTP 9VIRUS 3WEB-ATTACKS 47WEB-CGI 312WEB-CLIENT
| |
|
IP Options
Stateful Packet Inspection
UTMFirewall Security
Prod.
Reliable
UTM Inspection inspects all traffic moving through a device – 98% more inspection
Dynamic Management / Reporting
Firewall Traffic Path 61
Soluções Proxy Based The more users and traffic added, the more threats come through without inspection
Inspection Inspecting Stopped Network Use
Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address
Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address
Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address
max
min
min
Memory
Proxy solutions with no scalability
max
Memory Full Scanning Stopped
# of Users
Traffic
Inspection possible Not inspected
62
Firewall UTM UTM Platform Approach Real Time Scanning Engine
Inspecting Network Use
Real-time Scanning max
max
min
min
Protection for ALL Version | Service | Total Length Source Traffic ID | and Flags |ALL Fragment UDP Port TTLUsers | Protocol | IP Checksum
estination UDP Port
Source IP Address Destination IP Address IP Options
# of Users
Traffic
Unified Threat Management Firewall Security Integration
Productivity Control
Network Resiliency
Inspection possible Not inspected
Dynamically Updated Management and Reporting
63
Filtrando a Camada de Aplicação
Ameaças modernas requerem inspeção
aprofundada Protege os ativos de rede de ações na camada de
aplicação: Nimda, Slammer... Proporciona a habilidade para definição de políticas de segurança, a nível de aplicação, em um nível maior de granularidade Melhor proteção para aplicações Microsoft
Framework para filtragem de Aplicações Filtros nativos para protocolos comuns HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media Arquitetura extensível por plug-ins
Publicação de um Servidor WEB - Tradicional Todo o tráfego usado na porta 80 é enviado ao Web
Server Um Web server por endereço IP
http://www.contoso.com http://39.1.1.1 http://www.contoso.com/../cmd?.. http://www.contoso.com/%20%20 http://www.contoso.com/scripts/ http://www.contoso.com/partners/
Internet
Incoming Traffic
Web Server
Segurança de Conteúdo Além das informações de portas, as informações de conteúdo também
são utilizadas pelo Firewall. Normalmente, apenas os protocolos mais comuns são analisados. HTTP: Permite Filtrar:
Métodos de acesso (GET, POST), URLs ("*.sk"), etc TAGS em HTML com referências a Applets em Java ou Objetos Active X. Dowload de certos tipos MIME. FTP: Permite Filtrar Comandos específicos (PUT, GET), Nomes de Arquivo Pode disparar antivirus para verificação de arquivos. SMTP: Permite criar regras de Filtragem baseadas Nos campos FROM e TO Tipo MIME Etc.
Pacotes X Alvos de Ataques (desconsiderado Windows portas:137,138,139) 20185 443 2294
52504 9747
92175 BackOrifice 73415
Netbus SunRPC
19784
AXFR
1126
Imap
1547
Pop Xterm NFS Snmp
51080
Telnet Rlogin 1048
WWW
4165
Mail Ftp
930
Squid
14005
Echo
291525
Resumo das Gerações: ✔ Filtro de pacotes: cabeçalhos dos pacotes; ✔ Filtro de estados: estados das conexões; ✔ Gateway de circuito: tráfego passante (posicionado inline); ✔ Gateway de aplicação: conteúdo total ou parcial dos pacotes.
Resumo das Gerações Host Internet
Firewall
Application
Application
Application
TCP Transport
TCP Transport
TCP Transport
IP Network
IP Network
IP Network
Datalink
Datalink
Datalink
Physical
Physical
Physical
Gateway de Aplicação Circuit Gateway (relay) Packet Filter
Rede Interna
Índice Definição 2. Internet Protocol 3. Gerações dos Firewalls 1.
4. Objetivos, Razões e Limitações do Firewall 5. 6. 7. 8. 9. 10.
Algoritmo do Firewall e Portas TCP/IP Filtro de pacotes NAT DMZ Monitoração Intrusão
Objetivo
Objetivo Supervisão de toda a comunicação de entrada
e saída Controle
do uso dos recursos protegidos por máquinas exteriores do uso da rede exterior pelas máquinas do perímetro protegido
Defesa
contra ataques externos ao perímetro protegido contra ataques iniciados no interior lançados para o exterior
Objetivo Os firewalls são sistemas que têm como objetivo
estabelecer regras e filtros de tráfego entre duas redes. Os firewalls são utilizados como a primeira linha de defesa contra ameaças externas a uma rede. Por ser a primeira linha de defesa, os sistemas de firewall devem ser cuidadosamente instalados e geridos. No caso de firewalls instalados em servidores (normalmente Windows NT, 2k, 2k3 e Unix), o sistema operativo deve também ser cuidadosamente configurado para o nível máximo de protecção.
Razões para utilizar um firewall O firewall pode ser usado para ajudar a impedir que sua
rede ou seu computador seja acessado sem autorização. Assim, é possível evitar que informações sejam capturadas ou que sistemas tenham seu funcionamento prejudicado pela ação de hackers; O firewall é um grande aliado no combate a vírus e cavalos-de-tróia, uma vez que é capaz de bloquear portas que eventualmente sejam usadas pelas "pragas digitais" ou então bloquear acesso a programas não autorizados; Em redes corporativas, é possível evitar que os usuários acessem serviços ou sistemas indevidos, além de ter o controle sobre as ações realizadas na rede, sendo possível até mesmo descobrir quais usuários as efetuaram
O que um Firewall pode fazer? Forçar a política de segurança Está no caminho de todo tráfego de entrada e
saída Controla o tráfego que por ele passa Regista todo tráfego Limitar riscos
Para que servem? Proteger uma rede de ataques externos Reforçar a Política de Segurança da empresa Controlar e restringir o acesso aos serviços disponibilizados Registrar a comunicação entre as máquinas internas e externas Esconder máquinas internas Converter endereços IP Criptografar dados (criação de VPNs) Balancear a carga dos servidores Oferecer integração com outros mecanismos de segurança (IDS,
anti-vírus, autenticação forte ...) Coletar informações sobre os eventos relacionados à segurança
O que um Firewall não pode fazer? Proteger contra pessoas internas Proteger contra ligações que não passam por
ele Proteger completamente contra novos caminhos
Para que NÃO servem? Controlar comunicação entre máquinas da mesma
sub-rede Impedir ataques de pessoas internas Controlar tráfego de informações Por outros meios magnéticos Por modem Por fax ou telefone ... Impedir ataques via “acesso legítimo” aos serviços internos
Falhas que podem ocorrer com o firewall Qualquer sistema, por mais seguro que seja, está
sujeito a falhas. As principais são:
Se um utilizador interno se ligar à rede externa, criará uma
porta de acesso à rede sem passar pelo firewall; Efetivo contra ataques externos, mas internamente não. A maioria dos incidentes é causada por pessoal interno; Bugs, problemas de má configuração ou falha de equipamento, podem deixar o firewall suspenso por algum tempo; Colisões da rede interna e externa podem evitar o acesso ao firewall por um instante. E justamente nesse instante um intruso poderá invadir a rede interna.
Limitações de Firewalls São um dos mecanismos de segurança e não
o mecanismo de segurança. Note-se que um firewall é totalmente ineficaz contra as ameaças internas ao perímetro protegido Podem também constituir um ponto de degradação do desempenho da rede, uma vez que as suas funcionalidades são implementadas por software.
Implementação de sistemas de confiança
Porque/onde usar o Firewall Maliciou s email
Hacker Firewall
Internet
Viruses, worms
Intrusions Inappropriat e Use
www.sex.com www.free.com www.game.com
82
Aspectos de Segurança de Redes
Só há uma rede imune a ataques externos: a que não tem conexão com o mundo exterior. Hoje em dia, com a rápida propagação das informações pela Internet, pessoas, podem burlar a segurança de sistemas operacionais, através de ferramentas feitas por pessoas competentes, e geralmente sem boas intenções.
83
Índice Definição 2. Internet Protocol 3. Gerações dos Firewalls 4. Objetivos, Razões e Limitações do Firewall 1.
5. Algoritmo do Firewall e Portas TCP/IP 6. 7. 8. 9. 10.
Filtro de pacotes NAT DMZ IDS Monitoração
Algoritmo do Firewall e Portas TCP/IP
Algoritmo dos Firewalls sem Estado Recebe pacote Seleciona Primeira Regra S OK para Passar?
Seleciona Proxima Regra
Encaminhar Pacote
N OK para Bloquear
S
Bloquear Pacote
N N
Última Regra?
s
Regra Default (Bloquear Tudo)
Distribuição das Portas 0 …. 1023 PORTAS
1024
TCP ou UDP
…. 49151 49152
Portas Bem conhecidas (well
known ports):
Geralmente usada pelos
servidores de serviços padronizados. Portas Registradas
Geralmente usada por
servidores proprietários.
…. 65535
Portas Dinâmicas ou Privadas:
Usadas pelos clientes e
pelos serviços não
Distribuição das Portas (cont) Portas Bem Conhecidas: Definidas pela IANA (Internet Assigned Numbers
Authority) Acessíveis apenas por processos de sistema (que tenham privilégios do tipo root). Desina servicos padronizados para Internet: FTP (21), HTTP (80), DNS (53), etc. Range: 0 a 1023 Geralmente, a porta é mapeada a um serviço em ambos os protocolos (TCP e UDP), mesmo que usualmente só seja utilizado um deles.
Distribuição das Portas (cont) Portas Registradas: Listada pela IANA (Internet Assigned Numbers
Authority) Serviço oferecido para conveniência da comunidade Acessiveis por processos de usuário Usadas geralmente para designar serviços proprietários: Corba Management Agente (1050), Microsoft SQL Server (1433), Oracle Server (1525), etc. Range: 1024 a 49151.
Exemplos de portas bem conhecidas portas bem conhecidas
Porta 49152
FTP
Porta 21
TELNET
Porta 23
SMTP
programa servidor de transferência de arquivos programa servidor de terminal remoto
Porta 25
programa servidor de correio eletrônico
HTTP
Porta 80
programa servidor de hipertexto e outros serviços WWW
NNTP
Porta 119
IRC
Porta 194
… Porta 65535
Cliente
portas livres
Dados armazenados
programa servidor de notícias
programa servidor de serviços chat
Índice 1. Definição 2. Internet Protocol 3. Gerações dos Firewalls 4. Objetivos, Razões e Limitações do Firewall 5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de Pacotes e Regras de Portas 7. NAT 8. DMZ 9. Intrusão (IDS e IPS) 10. Monitoração
Regras de Portas
Componentes de um Firewall Packet Filtering ou Filtro de pacotes O uso de filtragem de pacotes no router é
baseado nos campos do endereço IP: Origem Destino TCP/UDP porta origem TCP/UDP porta destino
Para bloquear ligações de ou para um servidor
web específico ou rede, a filtragem pode ser usada aplicada de várias formas, incluindo o bloquear de ligações a portas específicas.
Implementação Física No software do Roteador: screening routers No software de uma estação dedicada (um PC com duas placas
de rede). ROTEADOR
REDE INTERNA
REDE EXTERNA FIREWALL
PERSONAL FIREWALL
ROTEADOR
REDE EXTERNA
REDE INTERNA FIREWALL
94
Rede de Perímetro com Proxy Hosts Internos Com IP’s Privados Rede Interna
Servidor Proxy
Bastion Host
DMZ - Rede de Perímetro Roteador Externo Internet
95
Packet por Roteador
96
Packet Filters(continuaçao)
97
Packet Filters(continuaçao)
98
Componentes de um Firewall Packet Filtering Exemplo de uso de regras de filtragem: Protocol
Source addr
Dest addr
Source Port
Dest Port
Action
Tcp
*
123.4.5.6
>1023
23
permit
Tcp
*
123.4.5.7
>1023
25
permit
Tcp
*
123.4.5.8
>1023
25
permit
Tcp
129.6.48.2 54
123.4.59
>1023
119
permit
udp
*
123.4.*.*
>1023
123
permit
*
*
*
*
*
deny
Componentes de um Firewall Packet Filtering A 1ª regra, dá permissão aos pacotes TCP de
qualquer endereço origem e portas maiores que 1023 na Internet, de entrar para o endereço destino 123.4.5.6 e para a porta 23. (A porta 23 está associada ao server Telnet) A 2ª e 3ª regras, trabalham de forma similar, excepto que só são permitidos os pacotes para os endereços destino 123.4.5.7 e 123.4.5.8 e porta 25 para SMTP.
Componentes de um Firewall Packet Filtering A 4ª regra permite pacotes para o NNTP server (servidor
de news), mas apenas provenientes do endereço origem 129.6.48.254 para o endereço destino 123.4.5.9 e porta 119. A 5ª regra permite o tráfego que use UDP em vez de TCP, de qualquer endereço origem para qualquer endereço destino no site. A 6ª regra nega todos os outros pacotes. Se esta regra não estiver presente, o router pode não negar todos os pacotes subsequentes.
Filtragem de Pacotes A filtragem de pacotes é feita com base nas informações contidas no cabeçalho do
pacotes e das informações sobre as portas.
PORTA
PORTA PORTA
IP
IP
PORTA
PORTA
PORTA
PORTA
PORTA
PORTA PORTA PORTA
IP
IP
IP
IP
PACOTE
PORTA PORTA PORTA
IPorigem
IPdestino
Portaorigem
Portadestino
Firewalls
REGRAS:
BLOQUEAR ENTRADA DE PACOTES SE DESTINO DIFERENTE
DE IPB e PORTA DIFERENTE DE 80 BLOQUEAR SAIDA DE PACOTES SE PORTA DE DESTINO DIFERENTE DE 80 >1024
80
IP C
IP A
80
IP >1024 IP Ddest. Port.
IP Acao B
Senti.
1
Permit
in
TCP
IP A
IP C
> 1023 80
2
Permit
out
TCP
IP D
IP B
> 1023 80
3
negar
*
*
*
*
*
Regra
Prot.
IP orig.
Orig
Port Dest.
*
Exemplo de Regras de Filtragem regra
ação
interface/ sentido
protocolo
IP origem
IP destino
Porta origem
Porta destino
1
aceita r
rede interna/ para fora - IN
TCP
interno
externo
> 1023
80
2
aceita r
rede externa/ para dentro OUT
TCP
externo
interno
>1023
80
3
rejeita r
*
*
*
*
*
*
•
Interpretação:
– Hosts Internos podem acessar páginas web – Hosts externos podem acessar servidores de web interno.
Direção
Exemplo
•
Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
permitir
IN
tcp
interno
*
> 1023
23
permitir
OUT
tcp
*
interno
> 1023
23
permitir
OUT
tcp
*
interno
> 1023
80
permitir
IN
tcp
interno
*
> 1023
80
negar
*
*
*
*
*
*
Interpretação:
1 – Host Internos (IN – dentro para fora) usando o procotolo TCP podem acessar (permitir) qualquer servidor (*) Telnet (23). 2 – Host Externos (OUT – fora para dentro) usando o procolo TCP podem acessar (permitir) qualquer servidor interno (*) do serviço Telnet (23). 3 - Host Externos (OUT) usando o procolo TCP podem acessar (permitir) o servidor interno Web (80) 4 – Host Internos (IN) usando o procotolo TCP podem acessar (permitir) qualquer servidor (*) Web (80). 5 – Proibir (negar) tudo (*).
Seqüência de Criação de Regras A seqüência na qual as regras são aplicadas
pode alterar completamente o resultado da política de segurança. Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista O deslocamento de uma regra genérica para cima anula as demais. Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
permitir
in
tcp
interno
*
> 1023
23
permitir
out
tcp
*
interno
> 1023
23
permitir
out
tcp
*
interno
> 1023
80
permitir
in
tcp
interno
*
> 1023
80
negar
*
*
*
*
*
*
Exercicio 01: Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
– Hosts Internos podem acessar servidores de telnet externos. – Host Externos podem acessar servidores telnet Internos Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
permitir
IN
tcp
interno
*
> 1023
23
permitir
OUT
tcp
*
interno
> 1023
23
*
*
*
*
*
*
negar
TUDO QUE NÃO É PERMITIDO É PROIBIDO
108
Exercício 02 - Hosts Internos podem acessar servidores de telnet externos e hosts externos acessar meu servidor interno 10.10.10.10. – Hosts externos podem acessar meu servidor 200.145.22.33 de News Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
Permit
In
Tcp
Interno
*
>1023
23
Permit
out
TCP
*
10.10.10.10
>1023
23
Permiti
out
Tcp
*
200.145.22.33
> 1023
119
negar
*
*
*
*
*
*
109
Exercício 03 - Hosts Internos podem acessar servidores de telnet internos (10.10.10.10) e hosts externos podem acessar meu servidor de telnet (10.10.10.10). – Hosts externos podem acessar servidores de web internos e os hosts internos podem acessar servidores externos. Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
Permitir
Out
Tcp
*
10.10.10.10
>1023
23
permitir
out
tcp
*
interno
> 1023
80
permitir
in
tcp
interno
*
> 1023
80
negar
*
*
*
*
*
*
110
Exercício 04:
Criar Regra rede interna e
Servidor Telnet
>1023
>1023
1 INTERNET
23
2
200.17.98.?
200.234.56.7
Rede Interna Ação
Dir
Protocolo
IP Origem
permitir
IN
tcp
200.17.98.0/24
*
*
negar
IP Destino 200.234.56.7 *
*
Porta Origem
> 1023
Porta Destino
23 *
*
Servidor Ação
Dir
Protocolo
IP Origem
permitir
OUT
tcp
200.17.98.0/24
negar
*
*
*
IP Destino 200.234.56.7 *
Porta Porta Destino Origem
> 1023 *
23 *
111
Exercício 05
- O servidor de ssh (10.20.2.4) só poderá ser acessado pelos clientes internos da rede; - Devido a um problema de vírus a toda a classe B da rede que tem o host 200.242.4.5 será proibida de fazer qualquer solicitação. - O Cliente 10.20.2.70 pode acessar o serviços de banco de dados postgres (TCP - 5432) da maquina 10.20.2.9 e oracle (TCP 1521) do host 10.20.2.8. – Hosts externos podem acessar servidores de web cujo IP é 200.3.4.6 e o servidor de email que responde pelo endereço 200.3.4.5 (externamente) e 10.20.2.1 (internamente) e os hosts internos podem acessar servidores web externos. – Apenas a máquina 10.20.2.50 não pode acessar nenhum serviço da internet. Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
Negar
Out
*
200.242.0.0/16
*
>1023
*
negar
in
*
10.10.2.50
*
>1023
*
permitir
out
tcp
*
200.3.4.6
> 1023
80
permitir
out
tcp
*
200.3.4.5
> 1023
25/110
permitir
in
tcp
10.20.2.0/24
*
>1023
80
negar
*
*
*
*
*
*
112
Exercício06:
PROVEDOR
Servidor Web, FTP e Email
INTERNET BACKBONES
Firewall 01
PROVEDOR
Firewall 02 200.7.8.9
200.1.2.3
Firewall 03 Servidor Oracle 1521
PROVEDOR
Servidor Postgres 5432
200.4.5.6 Sabendo que cada rede possue uma classe C, faça as seguintes regras: 1 – Os serviços de Web e FTP da matriz poderão ser acessado por qualquer máquina na internet, entretanto o serviço de Email só poderá ser acessado pelas duas filiais; 2 – Os bancos de dados ficam restrito só para acesso interno da empresa, ou seja, sua respectiva rede interna, matriz e filias; 3 – As 3 redes podem acessar quaisquer servicos páginas Web e SSH externos.
Firewall 01
Ação
Dir
Protocolo
IP Origem
IP Destino
Port Origem
Porta Destino
Permitir
IN
tcp
200.1.2.0/24
*
> 1023
80/22/53
Permitir
out
Tcp
*
200.1.2.3
> 1023
80/21/20
Permitir
out
Tcp
200.4.5.0 /24 200.7.8.0/24
200.1.2.3
> 1023
110/25
Permitir
In
Tcp
200.1.2.0/24
200.4.5.6
> 1023
1521
Permitir
In
Tcp
200.1.2.0/24
200.7.8.9
>1023
5432
negar
*
*
*
*
*
Ação
Dir
Protocolo
IP Origem
Permitir
in
tcp
200.7.8.0/24
Firewall 02
Permitir Permitir
Out in
tcp tcp
Permitir
in
tcp
negar
*
*
200.1.2.0/24 200.4.5.0/24 200.7.8.0/24 200.7.8.0/24
IP Destino * 200.7.8.9 200.4.5.6 200.1.2.3
Porta Origem
Porta Destino
> 1023
80/22/53
> 1023
5432
> 1023
1521
> 1023
20/21/25/110
*
*
Firewall 03
Ação
Dir
Protocolo
IP Origem
Permitir
in
tcp
200.4.5.0/24
Permitir Permitir
Out in
tcp tcp
Permitir
in
tcp
negar
*
*
200.1.2.0/24 200.7.8.0/24 200.4.5.0/24 200.4.5.0/24
IP Destino * 200.54.5.6 200.7.8.9 200.1.2.3
Porta Origem
Porta Destino
> 1023
80/22/53
> 1023
1521
> 1023
5432
> 1023
20/21/25/110
*
*
114
1 – Qualquer máquina da internet pode acessar o servidor Web da empresa. O Servidor de SSH (10.1.2.2) que também encontrase na filial 3, só pode ser acessado pela sua própria rede interna, matriz e demais filiais; 2 – Na filial 2 existe um enlace de rádio com o almoxarifado, onde o mesmo precisa acessar a parte de impressão TCP/IP (TCP 515); 3 – Na Matriz existe 2 máquinas 10.3.4.54 e 10.3.4.55 apenas (só esse) poderá acessar o servidor de FTP da Filial 1; 4 – O Servidor de Email só poderá ser acessado pela matriz e por uma máquina que encontra-se no almoxarifado cujo IP é 10.6.7.67 5 – A matriz e a filia 3 dessa empresa podem acessar os servidores de News cujos endereço são 200.5.6.7 e 200.9.8.7; 6 – Em cada rede possui uma máquina com final host 44 o qual é responsável em fazer terminal service (TCP 3389) em sua própria rede e em qualquer servidor ou estação de trabalho da matriz ou filial; 7 – O servidor de aplicação é Oracle e de uso restrito da empresa; 8 – O servidor de página faz replicação dos dados para o servidor 10.1.2.2 10 – As estações podem acessar páginas Web na porta 80 normalmente, mais não podem acessar nas portas 8080; 11 – O notebook (10.3.4.20), é única máquina além da rede interna da filial 3 a acessar o servidor de impressão.
Firewall 01 Matriz Ação
Dir
Permitir Negar Permitir Permitir Permitir permitir
in In IN In In out
Protocol o Tcp Tcp tcp Tcp Tcp Tcp
IP Origem
IP Destino
Permitir Permitir
in out
permitir perm negar
in in *
Port Origem Porta Destino
10.9.8.11 * 10.1.2.2 10.9.8.7 200.5.6.7 200.7.8.9 10.3.4.0/24
> 1023 > 1023 > 1023 > 1023 >1023 >1023
20/21 * 22 25/110 119 3389
Tcp Tcp
10.3.4.54/32 10.3.4.55/32 10.3.4.54/32 10.3.4.55/32 10.3.4.0/24 10.3.4.0/24 10.3.4.0/24 10.9.8.44/32 10.6.7.44/32 10.1.2.44/32 10.3.4.44/32 10.9.8.0/24 10.6.70/24 10.1.2.0/24
10.9.8.0/24 10.6.70/24 10.1.2.0/24 10.3.4.5
>1023 > 1023
3389 1521
Tcp Tcp *
10.3.4.0/24 10.3.4.20 *
* 10.6.7.2 *
> 1023 >1023
80 515 *
IP Origem
IP Destino
10.9.8.0/24 10.3.4.54/32 10.3.4.55/32 10.3.4.0/24 10.6.7.67 10.3.4.44/32 10.6.7.44/32 10.1.2.44/32 10.9.8.44/32 10.9.8.0/24 10.9.8.0/24 *
10.1.2.2 10.9.8.11 10.9.8.7 10.9.8.0/24
> 1023 > 1023 > 1023 >1023
22 20/21 25/110 3389
10.1.2.0/24 10.6.7.0/24 10.1.2.0/24 10.3.4.5 * *
>1023 > 1023 > 1023 *
3389 1521 80 * 116
*
Firewall 02 Filial 01 Ação
Dir
Permitir Permitir Permitir permitir
in Out out out
Protocol o tcp tcp tcp Tcp
Permitir Permitir permitir negar
in in in *
tcp tcp Tcp *
Porta Origem Porta Destino
Firewall 03 Filial 2
Ação
Dir
Permitir Permitir Permitir Permitir permitir
IN in In In out
Protocol o tcp Tcp Tcp Tcp Tcp
Permitir Permitir permitir Permitir negar
in in in out *
Tcp tcp Tcp tcp *
IP Origem
IP Destino
Port Origem Porta Destino
10.6.7.0/24 10.6.7.67 200.4.5.0 /24 200.7.8.0/24 10.6.7.0/24 10.3.4.44/32 10.9.8.44/32 10.1.2.44/32 10.6.7.44/32 10.6.7.0/24 10.6.7.0/24 10.3.4.20 *
* 10.9.8.7 200.1.2.3 200.5.6.7 200.7.8.9 10.6.7.0/24
> 1023 > 1023 > 1023 >1023 >1023
22 25/110 110/25 119 3389
10.1.2.0/24 10.9.8.0/24 10.1.2.0/24 10.3.4.5 * 10.6.7.2 *
>1023 > 1023 > 1023 >1023 *
3389 1521 80 515 *
IP Origem
IP Destino
* 10.3.4.0/24 10.9.8.0 /24 10.6.7.0/24 10.3.4.44/32 10.9.8.44/32 10.6.7.44/32 10.1.2.44/32 10.1.2.0/24 10.1.2.0/24 *
10.1.2.1 10.1.2.2
> 1023 > 1023
80 22
10.1.2.0/24
>1023
3389
10.9.8.0/24 10.6.7.0/24 10.1.2.0/24 10.3.4.5 * *
>1023 > 1023 > 1023 *
3389 1521 80 *
Firewall 04 Filial 3 Ação
Dir
Permitir Permitir
out out
Protocol o tcp tcp
permitir
out
Tcp
Permitir Permitir permitir negar
in in in *
tcp tcp Tcp *
Porta Origem Porta Destino
Firewall Linux – Scripts Iptables
O que é IPTABLES ? O iptables é um firewall em nível de pacotes e funciona baseado no endereço/porta de
origem/destino do pacote, prioridade, etc. Ele funciona através da comparação de regras para saber se um pacote tem ou não permissão para passar. Em firewalls mais restritivos, o pacote é bloqueado e registrado para que o administrador do sistema tenha conhecimento sobre o que está acontecendo em seu sistema.
Ele também pode ser usado para modificar e monitorar o tráfego da rede, fazer NAT
(masquerading, source nat, destination nat), redirecionamento de pacotes, marcação de pacotes, modificar a prioridade de pacotes que chegam/saem do seu sistema, contagem de bytes, dividir tráfego entre máquinas, criar proteções anti-spoofing, contra syn flood, DoS, etc. O tráfego vindo de máquinas desconhecidas da rede pode também ser bloqueado/registrado através do uso de simples regras. As possibilidades oferecidas pelos recursos de filtragem iptables como todas as ferramentas UNIX maduras dependem de sua imaginação, pois ele garante uma grande flexibilidade na manipulação das regras de acesso ao sistema, precisando apenas conhecer quais interfaces o sistema possui, o que deseja bloquear, o que tem acesso garantido, quais serviços devem estar acessíveis para cada rede, e iniciar a construção de seu firewall.
Quando Surgiu ? No kernel do Linux 2.4, foi introduzido o firewall iptables
(também chamado de netfilter) que substitui o ipchains dos kernels da série 2.2. Este novo firewall tem como vantagem ser muito estável (assim como o ipchains e ipfwadm), confiável, permitir muita flexibilidade na programação de regras pelo administrador do sistema, mais opções disponíveis ao administrador para controle de tráfego, controle independente do tráfego da rede local/entre redes/interfaces devido a nova organização das etapas de roteamento de pacotes.
Sintaxe iptables ( comando ) ( parâmetro ) ( extensões ) Ex: iptables –A INPUT -p TCP –s 192.168.7.106 –j DROP
Adicionando regras (– A) iptables -t filter -A INPUT/OUTPUT/FORWARD -d IP -j DROP/ACCEPT Ex: iptables -A FORWARD -s 10.0.0.1 -j DROP
Deletar regras (– D) iptables -t filter -D INPUT/OUTPUT/FORWARD -d IP -j DROP/ACCEPT Ex: iptables -D FORWARD -s 10.0.0.1 -j DROP
Listar (– L) Ex: iptables –L
Limpar regras - Flush (– F) Ex: iptables –F ...
Sintaxe Comandos básicos do iptables: -A - Permite atualizar regras já existentes na estrutura do firewall e acrescenta uma regra às existências no sistema. -I - Insere nova regra dentro das existentes do firewall. -D - Exclui uma regra específica no firewall. -P - Comando que define regra padrão do firewall. -L - Comando para listar todas as regras existentes no firewall. -F - Este aqui zera todas as regras do firewall, podemos chamar de flush. -h - Ajuda do comando. -R - Substitui uma regra do firewall. -C - Verifica as regras básicas do firewall. -N - Cria uma nova regra com um nome específico. -X - Exclui uma regra por seu nome.
Sintaxe Parâmetros padrão no iptables: -p (protocolo) - define qual protocolo TCP/IP. (TCP,UDP e
ICMP). -s (origem) -d (destino) - define qual o endereço de origem -S e destino -D esse comando tem dois argumentos endereço/máscara e porta. -i (interface) - define o nome da interface da rede onde trafegarão os pacotes de entrada e saída do firewall. Utilizado em mascaramento com NAT -j (ir para) - redireciona uma ação desde que as regras sejam similares. -f (fragmentos) - trata datagramas fragmentados.
IP FORWARD Considerações iniciais
O IP FORWARD é um tipo de roteamento. É estabelecido quando colocamos uma máquina entre dois ou mais segmentos de rede, permitindo a livre passagem de pacotes entre estes sempre que for necessário. É importante ressaltar que o roteamento só irá funcionar quando for feito entre REDES DIFERENTES. Não se pode colocar um roteador entre dois segmentos de rede iguais. Esse procedimentonão serve apenas para estabelecer a comutação de segmentos. Ele também é útil para diminuir o tráfego na rede como um todo, pois só deixa o pacote mudar de segmento se isso for realmente necessário.
IP FORWARD Para fazer o IP FORWARD, o micro roteador deverá possuir
uma placa de rede com endereço IP pertencente a cada segmento. Também deveremos informar, em cada máquina de cada seguimento, quem será o micro responsável pelo roteamento. O nome técnico desse micro é gateway.
IP FORWARD No caso do esquema anterior, temos as seguintes situações: Gateway para 10.0.0.1, 10.0.0.2 e 10.0.0.3: a máquina 10.0.0.10 Gateway para 172.20.0.1, 172.20.0.2 e 172.20.0.3: a máquina
172.20.0.10 É importante que, nos dois lados, todos os micros saibam quem é o seu gateway pois, do contrário, os hosts não saberão para onde enviar os pacotes destinados à rede oposta. Exemplo: A máquina 10.0.0.1 sabe que 10.0.0.10 é o seu gateway. A máquina 172.20.0.1 não sabe quem é o seu gateway. Um ping de 10.0.0.1 para 172.20.0.1 sairá de 10.0.0.1, passará por 10.0.0.10, seguirá por 172.20.0.10 e chegará em 172.20.0.1. Como 172.20.0.1 não sabe quem é o seu gateway para a rede 10.0.0.0, não conseguirá responder. O ping vai morrer por timeout. Houve o icmp echo request mas será impossível gerar o icmp echo reply.
Inicio de Scripts ### Limpa as regras existentes. export IPTABLES="/usr/sbin/iptables" export iptables="/usr/sbin/iptables" export LAN="10.10.2.0/24" /usr/sbin/iptables -F /usr/sbin/iptables -X /usr/sbin/iptables -t nat -X /usr/sbin/iptables -t nat -F # Roteamento entre as placas echo 1 > /proc/sys/net/ipv4/ip_forward
http://www.4shared.com/file /42267953/f6df6fc4/SCRIPT _LINUX.html
### Muda a Politica da Chain Forward. $iptables -P FORWARD DROP $iptables -P INPUT ACCEPT $iptables -P OUTPUT ACCEPT ### Permite o trafego de conexoes ja estabelecidas. $iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT $iptables -A FORWARD -m state --state RELATED -j ACCEPT
Acesso a páginas Web e Email ### Permite acesso web (HTTP e HTTPS). $IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport 8080 -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT ### Permite acesso ao e-mail tradicional. /usr/sbin/iptables -A FORWARD -p tcp --dport 25 -j ACCEPT /usr/sbin/iptables -A FORWARD -p tcp --dport 110 -j ACCEPT #nat 25 $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 --dport 25 -j MASQUERADE $IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 --dport 25 -j ACCEPT #nat 110 $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 --dport 110 –MASQUERADE $IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 --dport 110 -j ACCEPT
Acesso a DNS, Proxy transparente, PING e LOG ### Permite consultas DNS $iptables -A FORWARD -p tcp --dport 53 -j ACCEPT $iptables -A FORWARD -p udp --dport 53 -j ACCEPT #Proxy transparente $iptables -t nat -A PREROUTING -p tcp -s 10.10.2.0/24 -d! 10.0.0.0/8 --dport 80 -j DNAT –to 10.10.2.1:3128 #$iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # Liberar ping para rede da Empresa #$iptables -I INPUT -p icmp --icmp-type echo-request -s origem -d destino -j ACCEPT #$iptables -I INPUT -p icmp --icmp-type echo-request -s 10.0.0.0/8 -d 10.89.2.0/24 -j ACCEPT ### Ativar a geração de Logs /var/log/messages $iptables -A FORWARD -j LOG --log-prefix "[DROP_PKT] "
Raw iptables log output
Verificação de Regras iptables -L -v -n
Exemplo 01: iptables iptables iptables iptables
-P INPUT DROP -A INPUT -s 10.0.0.1 -j DROP -A INPUT -s 10.0.0.2 -p tcp --dport 80 -j ACCEPT -A INPUT -s 172.20.0.0/16 -j ACCEPT
Exemplo 02 iptables -P INPUT ACCEPT iptables -A INPUT -s 10.0.0.1 -j DROP iptables -A INPUT -s 10.0.0.2 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 172.20.0.0/16 -j ACCEPT
Exercício 01 de Script Linux A rede interna poderá fazer FTP para qualquer host. # Regrasgerais de FTP iptables -A FORWARD -p tcp --dport 21 -j ACCEPT iptables -A FORWARD -p tcp --dport 20 -j ACCEPT
Liberar Acesso do host 10.20.4.5 para o servidor Oracle do IP 200.20.78.123 iptables -A FORWARD -p tcp –s 10.20.4.5 --dport 1521 -d 200.20.78.123 -j ACCEPT
Liberar acesso da rede interna cujo host é 10.20.3.4 e classe B para o servidor
My SQL, cujo IP 200.91.34.67 iptables -A FORWARD -p tcp –s 10.20.0.0/16 --dport 3006 -d 200.91.34.67 -j ACCEPT
Liberar a Rede interna para acessar qualquer servidor Web apenas o servidor
200.7.8.9 via terminal service. A única exceção será o host 10.2.3.4 não poderá acessar nenhum serviço iptables -A FORWARD -p tcp –s 10.2.3.4 -j DROP iptables -A FORWARD -p tcp –s 10.2.3.0/24 --dport 3389 –d 200.7.8.9 -j ACCEPT iptables -A FORWARD -p tcp –s 10.2.3.0/24 --dport 80 -j ACCEPT
Exercício 02 de Script Linux Bloquear acesso ao Proxy 203.86.29.188 e outro 200.1.2.3 cuja porta é 8080 iptables -A FORWARD -d 203.86.29.188/32 -p tcp -j DROP iptables -A FORWORD -d 200.1.2.3/32 -p tcp --dport 8080 -j DROP
Liberar Acesso acesso remoto para uma rede classe B 200.242, onde a mesma
poderá acessar meu servidor cujo IP é 10.72.1.1 iptables -A FORWARD -p tcp -s 200.242.0.0/16 --dport 3389 -d 10.72.1.1 -j ACCEPT
Liberar tudo que for acesso cliente para uma estação cujo IP é 10.89.2.43 e
garantir que esse IP não posso ser acesso privilegiado deste IP não possa ser usado por outro host iptables -A FORWARD -p tcp -d 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT iptables -A FORWARD -p tcp -s 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT iptables -A FORWARD -p udp -s 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT iptables -A FORWARD -p udp -d 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT arp -s 10.89.2.43 0013a98d9d79
Firewall Windows – Kério
Regras no Sistemas Operacional Windows
Tela do Kério
Resumo do básico de Firewall 1. Deny network traffic on all IP ports. 2. Except, allow network traffic on port
80 (HTTP). 3. Except, from all HTTP traffic, deny HTTP video content. 4. Except, allow FTP to everyone. 5. Except, allow SMTP and POP3 to everyone. ...
Filtros de Pacotes
Desempenho do Filtro de Pacotes
O processo de filtragem de pacotes exige que um certo
processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido. Dependendo da velocidade da linha de transmissão, esse processamento pode ou não causar uma degradação do desempenho da rede. Conexão
Pacotes/s (20 bytes)
Tempo disponível
Ciclos CPU 100 MHz
56 Kbit/s 2 Mbit/s 10 Mbit/s 100 Mbit/s 1Gbit/s
350 12500 62500 625000 6250000
2.86 ms 80 µ s 16 µ s 1.6 µ s 0.16 µ s
286000 8000 1600 160 16 141
Filtro de Pacotes Fragmentos:
Implementação Linux - Squid
Sintaxe Criação de ACL de conteudo
acl
url_regex –i “” EX: acl sexo1 url_regex -i "/etc/squid/control/sites-sexo1” acl sexo1 url_regex sex sexo playboy ... –i Outras Regras de Conteúdo
acl msn dstdomain loginnet.passport.com acl msnmessenger url_regex -i gateway.dll acl MSNapp req_mime_type -i ^application/x-msn-messenger$ acl webmsn dstdomain webmessenger.msn.com acl orkutregra url_regex orkut orkutando toperkut –I acl javascript rep_mime_type -i ^application/x-javascript$
Filtro de Conteúdo – Linux (Squid)
Sintaxe Criação de ACL Usuários
Acl scr Ex:http_access
allow msnmessenger usuarios http_access allow MSNapp usuarios http_access allow webmsn usuarios http_access deny entrentimento usuarios http_access deny sexo1 usuarios http_access deny sexo2 usuarios http_access allow all
Windows
Filtros de Pacote Kério
Filtros de Pacote Kério
Filtros de Pacote Kério
Filtros de Pacote Kério
Índice 1. Definição 2. Internet Protocol 3. Gerações dos Firewalls 4. Objetivos, Razões e Limitações do Firewall 5. Algoritmo do Firewall e Portas TCP/IP 6. Filtro de pacotes e Regras de Portas
7. NAT 8. DMZ 9. IDS 10. Monitoração
NAT (Network Address Translation) Também conhecido como masquerading é uma técnica que consiste em reescrever os endereços IP de origem de um pacote que passam por um router ou firewall de maneira que um computador de uma rede interna tenha acesso ao exterior (rede pública). É um protocolo que, como o próprio nome diz, faz a tradução dos endereços IP e portas TCP da rede local para a Internet. Ou seja, o pacote enviado ou a ser recebido de sua estação de trabalho na sua rede local, vai até o servidor onde é trocado pelo ip do mesmo substitui o ip da rede local validando assim o envio do pacote na internet, no retorno do pacote a mesma coisa, o pacote chega e o ip do servidor é trocado pelo Ip da estação que fez a requisição do pacote.
Network Address Translation (NAT) IP => 32 bits! Maximo 4 bilhões de números. IP privado IP publico
NAT: Network Address Translation Permite traduzir endereços privados em endereços registrados. Seu funcionamento é definido pela RFC 1631
A função de NAT é geralmente executada por: ROTEADORES, FIREWALLS OU APLICATIVOS INSTALADOS EM
COMPUTADORES COM DUAS PLACAS DE REDE
EM TODOS OS CASOS, OS CLIENTES SÃO CONFIGURADOS PARA UTILIZAR O DISPOSITIVO DE NAT COMO ROTEADOR.
Traduções: One-TO-Many
Traduzir vários IP’s para um único IP Funcionamento similar ao Proxy (mais usual)
Many-TO-Many
Traduzir um grupo de IP’s para outro grupo de IP’s
NAT: Network Address Translation Permite traduzir endereços privados em endereços registrados. Seu funcionamento é definido pela RFC 1631
A função de NAT é geralmente executada por: ROTEADORES, FIREWALLS OU APLICATIVOS INSTALADOS EM
COMPUTADORES COM DUAS PLACAS DE REDE
EM TODOS OS CASOS, OS CLIENTES SÃO CONFIGURADOS PARA UTILIZAR O DISPOSITIVO DE NAT COMO ROTEADOR.
Traduções: One-TO-Many
Traduzir vários IP’s para um único IP Funcionamento similar ao Proxy (mais usual)
Many-TO-Many
Traduzir um grupo de IP’s para outro grupo de IP’s
NAT: Implementado em Roteadores ou Firewalls 192.168.0.? IP_INTERNET APLICAÇÃO
200.17.98.24 IP_INTERNET APLICAÇÃO
IP_INTERNET
IP_INTERNET
192.168.0.? APLICAÇÃO
200.17.98.24
192.168.0.10
INTERNET REDE INTERNA
192.168.0.254
200.17.98.24
APLICAÇÃO
Exemplo de NAT A estação com IP 192.168.1.13 faz uma requisição, por
exemplo, para um endereço externo. O pacote sai com o IP da estação e corre em direção ao intermediador entre ambiente interno e externo, o gateway. O gateway, através do protocolo NAT mascara o IP da estação com seu IP (200.158.112.126 - que é válido na internet) assim fazendo com que o pacote seja entregue no destino solicitado pela estação. No retorno do pacote, ele parte do endereço externo, chega a nossa rede no servidor NAT (200.158.112.126) e lá é volta ater o IP da estação assim chegando à estação (192.168.1.13).
LIMITAÇÕES DO NAT NAT permite apenas que clientes internos
acessem servidores externos:
Um computador com IP privado não consegue
falar com outro computador com IP privado através da Internet.
Além da troca dos IPs, muitos parâmetros
precisam ser recalculados:
IP checksum e TCP checksum (fácil)
LIMITAÇÕES DO NAT O NAT não funcionará em protocolos onde
o IP apareça em um campo do protocolo de aplicação se: O protocolo de aplicação não for conhecido
pelo dispositivo de NAT. O protocolo de aplicação estiver criptografado.
O NAT utiliza tabelas internas para
mapear conexões ativas.
Tabelas grandes levam a baixo desempenho.
Roteador Interno e Gateway Default rede corporativa interna da empresa IP FRIO
IP FRIO
Bloqueia qualquer pacote onde o IP de origem ou destino seja FRIO.
IP QUENTE
IP QUENTE
roteador interno
IP FRIO
IP QUENTE
INTERNET
GATEWAY DEFAULT
IP FRIO
servidor
IP FRIO
IP FRIO
IP FRIO
IP FRIO
Servidor acessível pela rede externa
Obtendo Serviços da Internet IP FRIO
IP FRIO
Bloqueia qualquer pacote onde o IP de origem ou destino seja FRIO.
SERVIDOR WEB SERVIDOR EMAIL
IP QUENTE
roteador interno
IP FRIO
IP FRIO IP QUENTE
IP QUENTE
INTERNET
GATEWAY DEFAULT
IP FRIO
IP FRIO
IP FRIO
IP FRIO
IP FRIO
Este servidor não é acessível pela rede externa.
Hosts Categoria 2 Exemplo de uma rede Intranet interligada a Internet através de um servidor proxy. Nessa rede, os hosts estão na categoria 2. 192.168.0.1
192.168.0.2
192.168.0.4
192.168.0.3
servidor proxy
200.17.98.1
192.168.0.5
192.168.1.5
200.17.98.2
roteador interno servidor
192.168.1.1
roteador
192.168.1.2
192.168.1.3
192.168.1.4
rede corporativa interna da empresa
conexão com um backbone da Internet. o servidor não é acessível pela rede externa.
Utilização
Linux
# Acesso na porta 80 para o Filial do Paraná Acessar $IPTABLES -t nat -A PREROUTING -p tcp -d 10.10.1.5 --dport 80 -j DNAT --to 10.10.2.1:80 $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 200.64.100.133 --dport 80 -j MASQUERADE # Acesso a Telnet /usr/sbin/iptables -A FORWARD -p tcp --dport 23 -d 10.1.8.1 -j ACCEPT #nat $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 10.1.8.1 --dport 23 -j MASQUERADE $IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 -d 10.1.8.1 --dport 23 -j ACCEPT # Acesso ao notes $iptables -A FORWARD -p tcp --dport 1352 -d 10.0.0.0/8 -j ACCEPT #nat $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 10.1.1.30 --dport 1352 –j MASQUERADE $IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 -d 10.1.1.30 --dport 1352 -j ACCEPT
Utilização
Windows
Utilização
Windows
Resumo do NAT Técnica utilizada para converter endereços IP de
máquinas internas em tempo real Possibilita o acesso à Internet a partir de máquinas com endereços IP reservados Permite a existência de um número maior de máquinas internas do que o número de endereços IP válidos Feita de forma transparente
Índice 1. Definição 2. Internet Protocol 3. Gerações dos Firewalls 4. Objetivos, Razões e Limitações do Firewall 5. Algoritmo do Firewall e Portas TCP/IP 6. Filtro de pacotes e Regras de Portas 7. NAT
8. DMZ 9. IDS 10. Monitoração
DMZ
O que é? É a sigla para de DeMilitarized Zone ou "zona desmilitarizada",
em português. Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.
Para que serve? A função de uma DMZ é manter todos os serviços que possuem
acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local.
DMZ/ Topologia sugerida Internet
Web Server FTP Server Mail Gateway
DMZ (zona desmilitarizada)
Implementação – Script Linux #!/bin/bash # SAINDO DA DMZ WWW MAIL FTP & DNS ## ##################################### ##################################### #Inicio iptables -t nat -A POSTROUTING -p tcp -o $IF_OUT -m multiport --dport ##################################### $MAIL_PORT,$WWW_PORT -j MASQUERADE iptables -F iptables -t nat -A POSTROUTING -p udp -o $IF_OUT --dport 53 -j MASQUERADE iptables -X iptables -A INPUT -i IP_IN -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -F ##################################### iptables -t nat -F ######## HABILITANDO FORWARD ##################################### ##################################### echo 1 > /proc/sys/net/ipv4/ip_forward # VARIÁVEL # ##################################### ##################################### ######## LIBERANDO FORWARD IF_IN=eth0 ##################################### IF_OUT=eth1 iptables -A FORWARD -p tcp -o $IF_OUT -i $IF_IN -j ACCEPT HOST=200.142.20.3 iptables -A FORWARD -p tcp -i $IF_OUT -o $IF_IN -j ACCEPT MAIL=200.142.21.6 ##################################### MAIL_PORT=25,110,22 # SAINDO ICMP da DMZ WWW=200.142.21.5 ##################################### WWW_PORT=80,8080,22 iptables -t nat -A POSTROUTING -p icmp -o $IF_OUT -j MASQUERADE IP_ADM=192.168.2.1 iptables -A INPUT -i $IF_IN -m state --state ESTABLISHED,RELATED -j ACCEPT DMZ=192.168.2.0 ##################################### ##################################### # DROP # DMZ # ##################################### ##################################### iptables -P INPUT DROP ### ENTRANDO NA DMZ WWW & MAIL iptables -P FORWARD ACCEPT ##################################### iptables -P OUTPUT DROP iptables -t nat -A PREROUTING -p tcp -i $IF_OUT -d $HOST -m multiport --dport $MAIL_PORT -j DNAT --to $MAIL iptables -t nat -A POSTROUTING -p tcp -o $IF_IN -m multiport --dport $MAIL_PORT -j MASQUERADE # iptables -t nat -A PREROUTING -p tcp -i $IF_OUT -d $HOST -m multiport --dport $WWW_PORT -j DNAT --to $WWW iptables -t nat -A POSTROUTING -p tcp -o $IF_IN -m multiport --dport $WWW_PORT -j MASQUERADE
Implementação Windows
Índice 1. Definição 2. Internet Protocol 3. Gerações dos Firewalls 4. Objetivos, Razões e Limitações do Firewall 5. Algoritmo do Firewall e Portas TCP/IP 6. Filtro de pacotes e Regras de Portas 7. NAT 8. DMZ
9. Intrusão (IDS) 10. Monitoração
9 – IDS
Intrusão Conjunto de ações que comprometem a integridade,
confidencialidade ou disponibilidade dos dados, sistemas ou ambos [HeadyLugerEtAl, 1990]
Exemplos: Usuários confiáveis usando de forma errada os
sistemas Usuários hostis usando brechas nos sistemas para compromete-los Usuários hostis impersonificando usuários confiáveis para burlar os sistemas
Sistema de Detecção de Intrusos O que é? Sistema que permite a detecção de tentativas de intrusão,
atuando de forma preventiva e pró-ativa Ferramentas que monitoram acessos em tempo real, à procura de padrões suspeitos Possuem conjuntos de regras, semelhante às do firewall Podem gerar alertas ou tomar atitudes em caso de ataque Para que serve? Identificar invasões baseadas em:
ataques descritos por assinaturas pré-definidas alterações no padrão de utilização do ambiente por usuários conhecidos
Sistema de Detecção de Intrusos Benefícios: Complementar a segurança oferecida pelo
Firewall Proteger a rede interna contra acessos externos indevidos Combater ataques e invasões Responder automaticamente aos comportamentos suspeitos Elevar o nível de segurança
Sistema de Detecção de Intrusos Características desejáveis: Funcionamento contínuo sem interferência humana Tolerância a falhas Integração com os principais sistemas Auto-monitoramento de segurança Impacto mínimo no ambiente Integração com Firewall Interface amigável Adaptação as mudanças no ambiente
Sistema de Detecção de Intrusos Prováveis erros: Falso positivo
Classificação de uma ação como uma possível intrusão, quando se trata de uma ação legítima
Falso negativo Quando ocorre uma intrusão e a ferramenta permite que ela passe como se fosse uma ação legítima Subversão
Quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de falso negativo
Invasores
LPR RPC TELNE T WINS WWW NFS E-MAIL
www E-mail
LPR RP C T TELNE WINS WWW NFS E-MAIL
OUTROS
Usuários legítimos
1. FIREWALL
Cria um filtro, permitindo acessos somente aos
2. IDS
serviços desejados. Analisa os acessos aos
bloqueando os ilegítimos.
WWW E-MAIL
permitindo os legítimos e
WWW WWW E-MAIL E-MAIL
serviços desejados,
E-MAIL
Telnet
WINS
LPR
E-mail
W W W
NFS
RPC
www
Sistema de Detecção de Intrusos Principais desafios: Criptografia dos dados Utilização de Switch Tráfego intenso de rede
Fatores críticos de sucesso: Conhecimento sobre o funcionamento do sistema em
condições normais Resposta a incidentes Contingência e continuidade Tratamento de exceções para o estabelecimento do equilíbrio entre falsos positivos e falsos negativos
Sistema de Detecção de Intrusos Tipos: Host based
Software que monitora o Log File do sistema ou das aplicações, disparando um alarme quando um usuário acessa dados, arquivos ou programas não autorizados Compara os requests com as regras de sua tabela Pode ser programado para rejeitar determinados acessos Network based Software que monitora o tráfego da rede e responde com um alarme quando identifica um padrão de tráfego suspeito, indicando que invasores estão acessando a rede Monitora todo o tráfego de um segmento de rede Compara os requests com regras de sua tabela Pode opcionalmente avisar o firewall para cortar a conexão Híbridas
Network based IDS Utilizando o conceito de conexões não
autorizadas o dispositivo tenta analisar todos os dados que passam pela rede, aplicando um conjunto de regras pré-definidos ou identificando “assinaturas” nos dados capturados
INTERNET
REDE INTERNA
Roteador Firewall
Sensor
MONITORAMENTO
Network based IDS Limitações Escalabilidade (problemas em rede de alta velocidade) Reativo no que tange a atualização de assinaturas de
novos ataques Suscetível a técnicas de hacking mais avançadas Riscos fora do contexto de atuação (Engenharia Social)
Vantagens Portabilidade Independente do sistema operacional destino
Host based IDS Verificam pacotes “estranhos” no
computador e identificam padrões de comportamento conhecidos de usuários remotos ou locais executando ações que não deveriam
I N
T E
R
N
E
Host based IDS Limitações Falta de suporte a plataforma mista Carga adicional nos servidores Não detecção de intrusões via rede Capacidade de detecção limitada Riscos fora do contexto de atuação (Engenharia Social) Vantagens Solução mais escalável
Hibrid IDS Integração baseada em Network Based e Host
Based
INTERNET
REDE INTERNA
Router
SENSOR
FIREWALL
MONITORAMENTO
Hibrid IDS Limitações Carga adicional nos servidores Escalabilidade (problemas em rede de alta velocidade) Reativo no que tange a atualização de assinaturas de
novos ataques. Suscetível a técnicas de hacking mais avançadas Riscos fora do contexto de atuação (Engenharia Social) Vantagens Cobertura mais ampla no que tange a tentativas de intrusão
Scanner de vulnerabilidades
Pode identificar:
Uso de senhas inseguras Vulnerabilidades referentes a não aplicação de correções em sistemas operacionais Deficiências em protocolos de comunicação Deficiências na configuração dos sistemas
SISTEMA Host based Busca por vulnerabilidades no sistema operacional: política de senhas, privilégios errados, etc
Atua como sentinela nos servidores analisando log, acessos indevidos, back-door, etc
SCANNER
IDS Faz uma varredura na rede em busca de falhas nos dispositivos
Analisa todos os pacotes que trafegam pela rede em busca de um possível ataque REDE
Network based
Índice 1. Definição 2. Internet Protocol 3. Gerações dos Firewalls 4. Objetivos, Razões e Limitações do Firewall 5. Algoritmo do Firewall e Portas TCP/IP 6. Filtro de pacotes e Regras de Portas 7. NAT 8. DMZ 9. Intrusão (IDS e IPS)
10. Monitoração
10 – Monitoramento
Onde monitorar? Internet
Monitora rede interna contra ataques externos
Web Server FTP Server
Monitora equipamento
Contra ataques que ultrapassaram O Firewall
Mail Gateway
DMZ (zona desmilitarizada)
Contra ataques direcionados a este segmento de rede
Monitoramento e Registro Reportar Uso Detecção de intruso Descobrir método de ataque Evidências Legais Armazenar em outro PC ou em dispositivo
de gravação única
Análise Diária
Análise dos Usuários
Sites mais Acessados
Sites por usuários (Geral)
Acesso a download
Sites não autorizados
Análise Individual do usuário
Windows – Análise Filtro
Windows – Banda por usuário
Windows - Conexão
Windows - MRTG
Exemplo de invasão
Exemplo de invasão
Firewall – Windows Desktop
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
Firewall - Testes na Web Symantec Security Check http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym
Audit My PC Firewall Test http://www.auditmypc.com/firewall-test.asp
Gibson Research Corporation-Internet
Vulnerability Test
https://www.grc.com/x/ne.dll?bh0bkyd2
PC Flank's tests http://www.pcflank.com/about.htm
HackerWatch firewall tests http://www.hackerwatch.org/probe/
Hacker Whacker free tests http://theta.hackerwhacker.com/freetools.php
Look 'n' Stop - Internet security Test http://www.soft4ever.com/security_test/En/
“Se você não pode proteger o que tem, você não tem nada.” Anônimo
Fim da Ementa. Dúvidas
Reflexão: “Os computadores são incrivelmente rápidos, precisos e burros; os homens são incrivelmente lentos, imprecisos e brilhantes; juntos, seu poder ultrapassa os limites da Imaginação” – Albert Einstein 212