SlideShare ist ein Scribd-Unternehmen logo

Firewall: evolução e regras de proteção

Eduardo Santana
Eduardo Santana

Este documento descreve vários tipos de ferramentas de segurança de rede, incluindo firewalls, proxies e sistemas de detecção e prevenção de intrusão. Ele explica as gerações evolutivas dos firewalls, como funcionam proxies e caches, e fornece exemplos típicos de regras para cada geração de firewall.

1 von 24
Downloaden Sie, um offline zu lesen
Professor Conteudista: Dailson de Oliveira Fernandes PERNAMBUCO, 2010.
2 CONTEÚDO PROGRAMÁTICO 4. Ferramentas de Proteção (Continuação) 4.1 Firewall – Uma visão mais aprofundada 4.2 Primeira Geração (Filtros de Pacotes) 4.2.1 Regras Típicas na Primeira Geração 4.3 Segunda Geração (Filtros de Estado de Sessão) 4.3.1 Regras Típicas na Segunda Geração 4.4 Terceira Geração (Gateway de Aplicação - OSI) 4.4.1 Regras Típicas na Terceira Geração 4.5 Quarta Geração e subseqüentes 4.6 Proxy 4.7 Firewall + Proxy (Proxywall) ou Gateways de Aplicação 4.8 Detecção de Intrusão 4.8.1 IDS 4.8.1.1 IDS baseados em Redes 4.8.1.2 IDS Distribuídos 4.8.2 IPS – Intrusion Prevention System 4.8.3 Como funcionam os Sistemas de Detecção de Intrusão
3 INTRODUÇÃO Olá pessoal! Na semana passada, começamos a abordar as ferramentas de proteção a sistemas computacionais. Já foram citadas as seguintes ferramentas: • Antivírus • Firewall Pessoal • Antispyware • Antispam • Antiphishing • Antikeylogger Na parte anterior deste fascículo, tratamos de segurança de computadores domésticos. Neste capítulo, vamos ter um olhar um pouco mais complexo e generalista da proteção, pois iremos tratar sobre segurança de redes de computadores, ferramentas de proteção de perímetro de redes, criação de zonas seguras de acesso, isolamento de redes locais e melhores práticas de segurança em ambientes corporativos. Iremos estudar sobre as seguintes ferramentas: Proxy Firewall + Proxy (Proxywall) IDS – Intrusion Detection System IPS – Intrusion Prevent System Ao final desta semana você será capaz de: • Conhecer a área de atuação de cada ferramenta; • Identificar e aplicar as ferramentas de acordo com cada situação; • Instalar e usar algumas destas ferramentas; Sempre Seguro! E... Boa leitura!
4 4. FERRAMENTAS DE PROTEÇÃO (CONTINUAÇÃO) A partir deste momento, iremos tratar de segurança de perímetro de rede, ou seja, ferramentas que estão a margem da nossa rede, de “frente” com a Internet. Geralmente quando estamos em rede local, estamos acessando a internet através de outras máquinas que nos garante este recurso compartilhando a conexão, criando regras de proteção e garantindo a estabilidade do serviço. Estas máquinas fazem um trabalho transparente, porém fundamental. Caso algumas dessas máquinas do perímetro parar de funcionar, imediatamente perdemos acessos a recursos como o de visitar páginas, ver e-mails, conversar no MSN e ler o fascículo do curso. Na figura abaixo, apresentamos um diagrama muito utilizado em redes corporativas. Note a LAN (Rede Local) onde os usuários e funcionários de uma empresa estão trabalhando, porém existe um perímetro de rede que fisicamente podem não estar no mesmo local onde o funcionário está trabalhando, porém logicamente fazem parte da mesma rede corporativa. Veja também a presença de uma DMZ (Zona de Rede Desmilitarizada) onde tem os serviços que utilizamos como e- mail e FTP. Note que o firewall está à frente destas zonas de rede, cuidando justamente do “Perímetro”. Note a posição estratégica dele. Ele está a frente da LAN e atrás da Internet, cabendo a ele estabelecer regras de acesso tanto da Internet para a Rede Local e DMZ, quanto da Rede Local e DMZ para a Internet. Note também que essa rede tem uma redundância de links de internet, provendo assim a conexão o tempo todo. Caso um link pare de funcionar, o outro supre a falta. Este tipo de técnica se chama “Tolerância a Falha”. Fonte: Mattia Gentilini
5 Saiba mais: DMZ, em segurança da informação, é a sigla para de DeMilitarized Zone ou "zona desmilitarizada", em português. Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet. A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc.) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local. A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controle de acesso entre a rede local, a internet e a DMZ (ou, em um modelo genérico, entre as duas redes a serem separadas e a DMZ). Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do equipamento, também chamadas de VLANs – Virtual LAN (Ou seja, redes diferentes que não se "enxergam" dentro de uma mesma rede - LAN). O termo possui uma origem militar, significando a área existente para separar dois territórios inimigos em uma região de conflito. Isto é utilizado, por exemplo, para separar as Coréias do Norte e do Sul. Fim do boxe 4.1 Firewall – Uma visão mais aprofundada Os sistemas firewall nasceram no final dos anos 80, fruto da necessidade de criar restrição de acesso entre as redes existentes. Nesta época a expansão das redes acadêmicas e militares, que culminou com a formação da ARPANET e, posteriormente, a Internet e a popularização dos primeiros computadores tornou-se um prato cheio para a emergente comunidade hacker. Casos de invasões de redes, de acessos indevidos a sistemas e de fraudes em sistemas de telefonia começaram a surgir, e foram retratados no filme Jogos de Guerra ("War Games"), de 1983. Em 1988, administradores de rede identificaram o que se tornou a primeira grande infestação de vírus de computador e que ficou conhecido como Internet Worm. Em menos de 24 horas, o worm escrito por Robert T. Morris Jr disseminou-se por todos os sistemas da então existente Internet (formado exclusivamente por redes de ensino e
6 governamentais), provocando um verdadeiro "apagão" na rede. Conheça agora a evolução dos sistemas de Firewall. 4.2 Primeira Geração (Filtros de Pacotes) • O modelo tratava-se de um filtro de pacotes responsável pela avaliação de pacotes do conjunto de protocolos TCP/IP; • Apesar do principal protocolo de transporte TCP orientar-se a um estado de conexões, o filtro de pacotes não tinha este objetivo inicialmente (uma possível vulnerabilidade). 4.2.1 Regras Típicas na Primeira Geração • Restringir tráfego baseado no endereço IP de origem ou destino; • Restringir tráfego através da porta (TCP ou UDP) do serviço. Saiba mais: Uma conexão de rede é regida por estados. Existem três estados possíveis para uma conexão: NEW: Novas conexões ESTABLISHED: Conexões já estabelecidas RELATED: Conexões relacionadas a outras existentes. Exemplo: Quando você acessa o site da SECTMA, você está iniciando uma conexão da sua máquina com o servidor Web onde está hospedado o site (NEW), quando o servidor responde, ele estabelece a comunicação (ESTABLISHED) e os dados que trafegam durante toda a conexão são dados relacionados a ela (RELATED). Um firewall que conhece esses estados é chamado de StateFul, pois ele pode limitar e/ou liberar quaisquer desses estados. Você quando acessa o site da SECTMA da rede local do telecentro, o firewall permite que novas conexões sejam geradas no sentido LAN WAN, porém se o site da SECTMA tentar sozinho aparecer no seu browser sem a sua requisição, será barrado, pois o firewall não aceita novas conexões no sentido WAN LAN, ele só aceita
7 estados ESTABLISHED e RELATED nesse sentido. Em uma configuração básica de um firewall Stateful é permitido novas conexões (NEW) no sentido LAN WAN, e só se permite conexões WAN LAN que tenham o estado ESTABLHISHED e RELATED. Fim do Boxe 4.3 Segunda Geração (Filtros de Estado de Sessão) • Pelo fato de o principal protocolo de transporte TCP orientar-se por uma tabela de estado nas conexões, os filtros de pacotes não eram suficientemente efetivos se não observassem estas características; • Foram chamados também de firewall de circuito. 4.3.1 Regras Típicas na Segunda Geração • Todas as regras da 1.ª Geração; • Restringir o tráfego para início de conexões (NEW); • Restringir o tráfego de pacotes que não tenham sido iniciados a partir da rede protegida (ESTABLISHED); • Restringir o tráfego de pacotes que não tenham número de seqüência corretos. 4.4 Terceira Geração (Gateway de Aplicação - OSI) • Também são conhecidos como "Firewall de Aplicação" ou "Firewall Proxy"; • Não confundir com o conceito atual de “Firewall de Aplicação” firewalls de camada de Aplicação eram conhecidos desta forma por implementarem o conceito de Proxy e de controle de acesso em um único dispositivo (o Proxy Firewall), ou seja, um sistema capaz de receber uma conexão, decodificar protocolos na camada de aplicação e interceptar a comunicação entre cliente/servidor para aplicar regras de acesso;
8 4.4.1 Regras Típicas na Terceira Geração • Todas as regras das gerações anteriores; • Restringir acesso FTP a usuários anônimos; • Restringir acesso HTTP para portais de entretenimento; • Restringir acesso a protocolos desconhecidos na porta 443 (HTTP/HTTPS). 4.5 Quarta Geração e subseqüentes • O firewall consolida-se como uma solução comercial para redes de comunicação TCP/IP; • Stateful Inspection para inspecionar pacotes e tráfego de dados baseado nas características de cada aplicação, nas informações associadas a todas as camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e no estado das conexões e sessões ativas; • Prevenção de Intrusão para fins de identificar o abuso do protocolo TCP/IP mesmo em conexões aparentemente legítimas; • Deep Packet Inspection associando as funcionalidades do Stateful Inspection com as técnicas dos dispositivos IPS. Ou seja, além de controlar o estado da conexão, o firewall é capaz de ler conteúdo dos pacotes. • A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para ser aplicada também em estações de trabalho e computadores domésticos (o chamado "Firewall Pessoal"), além do surgimento de soluções de firewall dedicado a servidores e aplicações específicas (como servidores Web e banco de dados). 4.6 Proxy Proxy é um servidor que atende a requisições repassando os dados do cliente a frente. Um usuário (cliente) conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor. Um servidor proxy pode, opcionalmente, alterar a requisição do cliente ou a resposta do servidor e, algumas vezes, pode disponibilizar este recurso sem nem mesmo se conectar ao servidor especificado. Pode também atuar como um servidor que armazena dados em forma de cache em redes de computadores. São instalados em máquinas com ligações tipicamente superiores às dos clientes e com poder de armazenamento elevado.
9 Esses servidores têm uma série de usos, como filtrar conteúdo, providenciar anonimato, entre outros. Um HTTP caching proxy, por exemplo, permite que o cliente requisite um documento na World Wide Web e o proxy procura pelo documento em seu cache. Se encontrado, o documento é retornado imediatamente. Caso contrário, o proxy busca o documento no servidor remoto, entrega-o ao cliente e salva uma cópia no seu cache. Isso permite uma diminuição na latência, já que o servidor proxy, e não o servidor original, é acessado, proporcionando ainda uma redução do uso de banda. Veja na figura abaixo o funcionamento básico de um Proxy. As estações de uma rede local com IP de rede local (inválidos na internet) acessando a internet através de uma única máquina, o Proxy. Fonte: linux-tip.net Saiba mais: Cache é um dispositivo de acesso rápido, interno a um sistema, que serve de intermediário entre um operador de um processo e o dispositivo de armazenamento ao qual esse operador acesse. Podemos e devemos utilizar um Cache para melhorar a navegação na internet em uma empresa ou em redes locais. Pois a função é armazenar temporariamente arquivos e páginas acessadas em uma máquina, fazendo com que o próximo cliente que for acessar a mesma página ou arquivo não vá novamente à internet buscar a informação mas sim na rede local que é bem mais
10 rápido. Exemplo: imagine que você acabou de acessar o site da SECTMA e baixou mais um fascículo para ler. O seu colega que chegar depois de você, quando for solicitar o mesmo arquivo, o cache que está na sua rede local, já terá este arquivo, não sendo mais necessário o download dos computadores da SECTMA que ficam na capital, dando a impressão de super velocidade, porém sabemos que isso é apenas um artifício. Este exemplo serve para sites, fotos, músicas e quaisquer outras informações da internet. Veja na figura abaixo, uma rede um pouco mais complexa, com dois Proxys, onde os clientes acessam a internet normalmente. Caso a página já tenha sido acessada por outro computador, o acesso será a velocidade local, caso ele seja o primeiro, o acesso será normal a internet. Fonte: http://www.codeproject.com/KB/aspnet/ExploringCaching.aspx Fim do Boxe Latência - é a medida do tempo decorrido entre o início de uma atividade e a sua conclusão. Seria o atraso do início da requisição de um site até a chegada efetiva no nosso navegador. O Surgimento do Proxy O proxy surgiu da necessidade de conectar uma rede local à Internet através de um computador da rede que compartilha sua conexão com as demais máquinas. Em outras palavras, se considerarmos que a rede local é uma rede "interna" e a Internet é uma rede "externa", podemos dizer que o proxy é que permite outras máquinas terem acesso externo. Geralmente, máquinas da rede interna não possuem endereços válidos na
11 Internet e, portanto, não têm uma conexão direta com a Internet. Assim, toda solicitação de conexão de uma máquina da rede local para um host da Internet é direcionada ao proxy, este, por sua vez, realiza o contato com o host desejado, repassando a resposta à solicitação para a máquina da rede local. Por este motivo, é utilizado o termo proxy para este tipo de serviço, que é traduzido para procurador ou intermediário. É comum termos o proxy com conexão direta com a Internet. Mas como Proxy funciona como ferramenta de segurança ? Geralmente um Proxy é instalado para melhorar o acesso a Internet e também para compartilhar um link e balancear o uso da banda (velocidade de acesso) a internet. O Proxy é um intermediário único entre uma rede local e a Internet e ele permite que sejam criadas regras de acesso. É possível bloquear acesso a sites por endereço ou negar palavras ou limitar horários de navegação. Vejam alguns exemplos possíveis em Proxys: Negar as seguintes URLs: www.playboy.com.br www.jogosonline.com.br www.superdownloads.com.br Negar acesso a sites que contenham as palavras: • Sexo • Jogos • pornografia • pirata Limitar o horário de navegação a estação do usuário Paulo • Segunda a Sexta: 08:00 as 12:00hs • Sábados e Domingos – Proibido Proibir downloads de Arquivos do tipo: • Música - mp3, wma, wav, cda... • Filmes - mp4, avi, mpeg, mpg, mov, flv ... • Programas – exe, com, Bin...
12 • Imagens de CDs e DVDs - ISO, CUE, DAA, BIN Limitar acesso a sites pessoais em determinados horários: O Usuário poderá ler seus emails pessoais na hora do almoço: • Acesso a hotmail, bol, gmail, Yahoo... 12:00 as 14:00hs Além dessas características, o Proxy tem a habilidade de logar (fazer logs) de todos os sites acessados, arquivos baixados e arquivos enviados. Estas habilidades tornam o Proxy uma ferramenta de proteção de perímetro de rede. No mundo do Software Livre, o Proxy mais conhecido é o Squid – http://www.squid-cache.org, se você quiser conhecer alguns em plataforma Windows, sugiro o ISA Server da Própria Microsoft. Existem algumas alternativas gratuitas como o Analogx – http://www.analogx.com 4.7 Firewall + Proxy (ProxyWall) ou Gateways de Aplicação Os conceitos de gateways de aplicação (application-level gateways) e "bastion hosts" foram introduzidos por Marcus Ranum em 1995. Trabalhando como uma espécie de eclusa (vide figura abaixo), o firewall de proxy trabalha recebendo o fluxo de conexão, tratando as requisições como se fossem uma aplicação e originando um novo pedido sob a responsabilidade do mesmo firewall para o servidor de destino. A resposta para o pedido é recebida pelo firewall e analisada antes de ser entregue para o solicitante original. Os gateways de aplicações conectam as redes corporativas à Internet através de estações seguras (chamadas de bastion hosts) rodando aplicativos especializados para tratar e filtrar os dados (os proxy firewalls). Estes gateways, ao receberem as requisições de acesso dos usuários e realizarem uma segunda conexão externa para receber estes dados, acabam por esconder a identidade dos usuários nestas requisições externas, oferecendo uma proteção adicional contra a ação dos crackers.
13 As Eclusas do Canal do Panamá. Só é possível passar, quando elas estão abertas. O mesmo acontece com um Firewall Proxy ou Proxywall. Fonte: Mattia Gentilini Arqutietura com uso de Bastion Host. Máquina que fica na área de choque com a internet. Funciona como uma eclusa e faz a filtragens de pacotes TCP/IP, restrições de acesso, pode ser usada com proxy e compartilhamento de banda. Fonte: Mattia Gentilini Note que o ProxyWall ou Firewall Proxy ou ainda Gateway de Aplicação, está instalado em uma única máquina e provê os dois papéis podendo ainda trabalhar como cache. Observe também uma estrutura um pouco mais elaborada, contendo duas redes locais isoladas, uma rede sem fio (Wireless) e a presença da Zona Desmilitarizada (DMZ).
14 Fonte: Mattia Gentilini Saiba mais: Existe algumas correntes na área de Segurança da Informação que diz que concentrar vários serviços em uma só máquina é potencializar os riscos de segurança. Neste caso o proxywall não é uma boa alternativa segundo esse grupo. O Ideal seria colocar um Firewall de frente com a Internet e logo atrás uma máquina fazendo a função de Proxy. Essa tendência continua em relação a outros serviços como IPS e IDS. Cada um em um hardware específico ou em máquinas virtualizadas. Fim do boxe 4.8 Detecção de Intrusão “Provavelmente muitas pessoas já devem ter ouvido falar sobre a detecção de intrusão, mas geralmente não compreendem porque precisam utilizá-la em seu sistema. Sem a detecção de intrusão, muitos ataques podem acontecer sem que sejam percebidos. Assim como não é possível obter informações sobre ataques que ocorrem de forma bem-sucedida, não é possível obter informações suficientes para poder prevenir um novo ataque” (SANTOS, 2005). A partir deste ponto iremos tratar de duas ferramentas de segurança que tem a função de barrar ou detectar ataques que não são percebidos por um firewall, antivírus, antispyware ou outra ferramenta desse gênero. São ataques mais elaborados do tipo SQL Injection ou DNS Poisoning. O firewall não trata de texto passado via URLs no browser nem pacotes TCP que contenham informações maliciosas. Neste cenário entram os Sistemas de Detecção de Intruso: IDS e IPS.
15 4.8.1 IDS Sistema de detecção de intrusos ou simplesmente IDS (em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. Com o acentuado crescimento das tecnologias de infra-estrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados. Uma solução bastante discutida é a utilização de host-based IDS (HIDS) que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina. Note que na arquitetura HIDS, cada máquina tem um IDS instalado de modo separado. Fonte: Ryan Russel (2003) 4.8.1.1 IDS baseados em Redes Os IDS baseados em rede (NIDS – Network IDS) são os mais utilizados. Este tipo de IDS consegue monitorar o tráfego de uma rede inteira, sendo mais abrangente que o HIDS. A arquitetura NIDS combina máquinas que hospedam sensores IDS que farão a captura de dados e uma estação dedicada em realizar o gerenciamento das informações coletadas pelos sensores, possuindo, de acordo com a ferramenta
16 utilizada, geração de logs, interfaces gráficas entre outros suportes. Desta forma, poucos IDSs instalados podem monitorar uma grande rede e não interferir no seu desempenho. Por outro lado, podem ter dificuldades em analisar todos os pacotes numa rede grande ou sobrecarregada em períodos de tráfego intenso. Outro ponto importante é que os IDSs baseados em rede não podem analisar informações criptografadas. Note que na arquitetura NIDS, o IDS fica cuidando do perímetro da rede Fonte: Ryan Russel (2003) 4.8.1.2 IDS Distribuídos O DIDS (Distributed IDS) funciona em uma arquitetura cliente/servidor. Os sensores de detecção do NIDS ficam em locais distantes e se reportam a uma estação de gerenciamento centralizada. O upload dos logs de ataque é feito periodicamente na estação de gerenciamento e eles podem ser armazenados em um banco de dados central; o download de novas assinaturas de ataque pode ser feito nos sensores, de acordo com a necessidade. As regras de cada sensor podem ser personalizadas para atender às suas necessidades individuais. Os alertas podem ser encaminhados para um sistema de troca de mensagens localizados na estação de gerenciamento e usados para notificar o administrador do IDS. A Figura abaixo mostra um esquema de quatro sensores e uma estação de gerenciamento centralizada. “Os sensores NIDS 1 e NIDS 2 estão operando em modo promíscuo e secreto e estão protegendo os servidores públicos. Os sensores NIDS 3 e NIDS 4 estão protegendo os sistemas host”. (OLIVEIRA, 2004).
17 Um sistema DIDS pode ser visto também como um sistema híbrido onde arquiteturas HIDS e NIDS são combinadas, alimentando um sistema central que gerencia os dados. Note que na arquitetura DIDS, há uma vários HIDS se comunicando e enviando informações para um nó mestre, semelhante a uma arquitetura cliente servidor. Fonte: Ryan Russel (2003) 4.8.2 IPS – Intrusion Prevention System Um sistema de prevenção de intruso (em inglês: Intrusion Prevention System) é um dispositivo de segurança de rede que monitora o tráfego e/ou atividades dos sistemas em busca de comportamentos maliciosos ou não desejáveis, em tempo real, para bloquear ou prevenir essas atividades. Um IPS baseado em rede, por exemplo, vai operar em linha para monitorar todo o tráfego em busca de códigos maliciosos ou ataques. Quando um ataque é detectado, é possível bloquear os pacotes danosos enquanto o tráfego normal continua seu caminho. Sistema de prevenção de intruso evoluiu no final dos anos noventa para resolver as ambigüidades no monitoramento de rede passivo ao colocar a detecção em linha. No começo o IPS era apenas um IDS que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais robusto, uma vez que, apenas comandar o firewall ainda deixava que ao menos
18 aquele pacote malicioso trafegasse na rede, a solução era implementar formas inteligentes de bloqueio dentro do IPS. Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação, e não apenas no endereço IP ou em portas como os firewalls tradicionais trabalham. Entretanto, nada impede que para otimizar a performance muitos IPS utilizem regras baseadas em portas e endereço IP. O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens entre o IPS baseado em host e o IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que muita da tecnologia de IPS de rede evoluiu e hoje pode tranqüilamente exercer também as funções de host (instalado em uma única máquina). A qualidade de um sistema de prevenção de intruso está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativa baixa. Saiba mais: Falso positivo: é quando o IPS/IDS se engana e classifica como um tráfego malicioso uma ação normal do sistema. Falso negativo: ocorre quando o IPS/IDS não acusa o tráfego malicioso e o deixa passar normalmente como dados normais. Fim do boxe 4.8.3 Como funcionam os Sistemas de Detecção de Intrusão A invasão de um sistema é um ato de entrar em um perímetro de rede sem acesso autorizado, seja ele para danificar informações e serviços ou capturá-las. Os Sistemas de Detecção de Intrusão e os Sistemas de Prevenção de Intrusão devem estar aptos para perceber e reagir aos ataques intrusivos e não intrusivos em um determinado perímetro da rede. Os IPS e IDS devem estar sinalizando principalmente aos ataques intrusivos, para que eles não ocorram, ou se ocorrerem, sejam gerados alertas para que imediatamente providências sejam tomadas e os efeitos minimizados. A competência de não deixar que uma intrusão ocorra é da alçada de um IPS, a de alertar é do IDS, porém os sistemas hoje que trabalham com prevenção e negação da intrusão tem cada vez mais fundido este conceito se tornando como uma só ferramenta, que dependendo do perfil de configuração poderá se comportar de uma forma ou de outra, ou ainda atuando em paralelo como IPS e IDS, porém, conceitualmente os IDS deveriam detectar a invasão e gerarem
19 alertas identificando que um ataque está acontecendo naquele determinado momento e esperar que outras ferramentas, que trabalham em paralelo com ele, façam o trabalho de negar o ataque ou ainda aprender sobre ele. Já o IPS teria o foco principal de negar a intrusão na entrada principal da rede, podendo ainda juntamente com ação de negar, ter a característica de gerar alerta. O IPS não precisa de ferramentas adicionais para negar um ataque, ele em sua arquitetura já traz internamente estas características. “O modo mais simples de definir um IDS seria descrevê- lo como uma ferramenta capaz de inspecionar o payload (conteúdo) dos pacotes a procura correspondências de ataques. Além desta característica, um IDS tem a capacidade de ler e interpretar o conteúdo de arquivos de logs de roteadores, firewalls, servidores e outros dispositivos de rede.” (SANTOS, 2005). A frase acima é em relação aos dados que tem no pacote em comparação com um arquivo de assinaturas de ataque que o IDS tem em seus arquivos. A condição básica para um IDS é que ele possa escutar todo o tráfego da rede, não só endereçado a rede local ou internet, mas qualquer dado que trafegue por aquele perímetro. Para ter tal característica, é necessário que a placa de rede se coloque em modo promíscuo e a partir daí passar para os dispositivos internos do sistema IDS para que o tráfego possa ser tratado. Demonstração do fluxo de dados e condição para capturá-lo com uma Interface de Rede em Modo Promíscuo Fonte: Adaptado de Ryan Russel (2003) Saiba mais: Modo Promíscuo: em relação à Ethernet, é um tipo de configuração de recepção na qual todos os pacotes que trafegam pelo segmento de rede ao qual o receptor está conectado são recebidos pelo mesmo, não recebendo apenas os pacotes endereçados ao próprio. Uma importante aplicação para esta configuração
20 são os sniffers. Vários sistemas operacionais exigem privilégios de administração para ativar o modo promíscuo da rede. Fim do Boxe Existem programas que utilizam essa técnica para mostrar os dados sendo trafegados pela rede. Alguns protocolos como FTP e Telnet transferem conteúdo e senhas em modo texto, sem criptografia, sendo possível assim capturar tais dados em modo promíscuo a partir de outros computadores. Programas como o TCPDUMP e o WIRESHARK usam o modo promíscuo para poder capturar todo o tráfego de rede. Hoje no mundo do software podemos citar a marca líder do mercado de IDS que é o SNORT, que você encontrará mais informações no site http://www.snort.org/ . O Snort é Open Source e é gratuito. Símbolo do Snort Fonte: Eriberto Mota No mercado de IPS, cito um software nacional que também é o HLBR – Hogwash Light Brasil. Para conhecer melhor a área de atuação destas ferramentas, sugiro a leitura complementar deste tutorial que além de imagens, trás vídeos sobre a ferramenta: http://www.dailson.com.br/2007/09/tutorial-de-instalao-do-ips-hlbr.html Símbolo do HLBR Fonte: Eriberto Mota Saiba Mais: Existem hoje soluções que são vendidas em forma de appliance. É possível adquirir no mercado hoje aparelhos que reúnem todo tipo de solução em uma única peça. Existem appliance que são Firewall, antivírus, Antispam, Proxy, IDS, IPS e uma
21 série de outras ferramentas de forma fácil e segura. Existe uma solução brasileira chamada BRMA Vá ao site e conheça todos os recursos através de uma documentação vasta e bem ilustrada. Não deixe de fazer esta leitura complementar: http://www.brc.com.br/ Fim do Boxe
22 RESUMO DMZ (Zona Desmilitarizada) é a área de uma rede local que é destinada para acesso público. Geralmente é uma rede separada fisicamente e logicamente da rede local de uma empresa. Um Firewall ou Proxy ou ainda um Proxywall pode criar e gerar perímetros de rede. Pode-se e deve separar a LAN da DMZ. Atualmente nos encontramos na 4ª geração de firewalls. Hoje os firewall é capaz de reconhecer os estados da conexão. Os estados da conexão são: NEW, ESTABLISHED e RELATED. NEW: Novas conexões ESTABLISHED: Conexões já estabelecidas RELATED: Conexões relacionadas a outras existentes. Um firewall que conhece esses estados é chamado de StateFul, pois ele pode limitar e/ou liberar quaisquer desses estados. Proxy é um servidor que atende a requisições repassando os dados do cliente a frente. Um proxy pode também ter a função de cache. A função de um cache é de acelerar a navegação armazenando itens que são comumente acessados. O Proxy funciona também como uma ferramenta de segurança, pois ele é capaz de criar ACLs – Lista de Controle de Acessos. O Cache mais conhecido do mundo do software livre é o Squid. ProxyWall é a junção de um filtro de pacotes (firewall) com um proxy na mesma máquina. Um ProxyWall é também conhecido com Gateway de Aplicação. Devemos evitar diversos serviços de segurança na mesma máquina. Isto é totalmente condenável. Um firewall não é capaz de detectar tentativas de intrusão. Para isso existem ferramentas como IPS e IDS. IDS - Sistema de detecção de intrusos refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. Existem basicamente 3 tipos de IDS: HIDS, NIDS e DIDS. Os HIDS – Host IDS são os sistemas de detecção de intruso que são instalados em uma única máquina. (host) Os NIDS - Network IDS são os sistemas de detecção de intruso que são instalados no
23 perímetro da rede. Os DIDS - Distributed IDS são os sistemas de detecção de intruso que são instalados na arquitetura cliente/servidor. Outra categoria de IDS são os IPS. O IPS – Sistemas de Prevenção de Intruso é um dispositivo de segurança de rede que monitora o tráfego e/ou atividades dos sistema em busca de comportamentos maliciosos ou não desejáveis, em tempo real, para bloquear ou prevenir essas atividades. A grande diferença de um IDS para um IPS é que o IDS monitora e alerta o administrador de uma eventual invasão. O IPS avisa e nega a invasão. A competência de não deixar que uma intrusão ocorra é da alçada de um IPS, a de alertar é do IDS. OS IDS e IPS trabalham com a placa de rede em modo promíscuo. Uma placa de rede quando está em modo promíscuo “escuta” todo o tráfego da rede destinado a ela ou não. Falso positivo: é quando o IPS/IDS se engana e classifica como um tráfego malicioso uma ação normal do sistema. Falso negativo: ocorre quando o IPS/IDS não acusa o tráfego malicioso e o deixa passar normalmente como dados normais. Um excelente IDS gratuito é o SNORT. Um excelente IPS gratuito é o HLBR.
24 Referências bibliográficas: Partes dos Textos deste capítulo tem os seguintes créditos: “Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/” Sites visitados http://hlbr.sf.net http://www.dailson.com.br Santos, Bruno. Detecção de intrusos utilizando o Snort. Monografia de Pós- Graduação. Monografia - Universidade Federal de Lavras, Lavras - MG, 2005. Cartilha de Segurança da Internet, http://nic.br , http://cert.br e http://cartilha.cert.br Northcutt, Stephen; Zeltser, Lenny; Winters, Scott; [et al]. “Desvendando segurança em redes: o guia definitivo para fortificação de perímetros de redes usando firewalls, VPNs, roteadores e sistemas de detecção de invasores”. Rio de Janeiro: Campus, 2002. Ned, Frank “Ferramentas de IDS” – Rede Nacional de Ensino e Pesquisa (RNP) 17 de Setembro de 1999, Vol 3, Nº 5. Russel, Beale, Foster, Posluns, Caswell; [et al]. – “Snort Intrusion Detection – Everything You Need to Know to Defend Your Company”. Syngress, 2003. Schulter, Alexandre - “Integração de Sistemas de Detecção de Intrusão para Segurança de Grades Computacionais” – Monografia. Universidade Federal de Santa Catarina, 2006. Andrade de Oliveira, Rodrigo – “Desenvolvimento de uma Estrutura de Resposta Ativa Utilizando o IDS Snort” – Faculdade de Informática Presidente Prudente, 2004.

Empfohlen

Firewall
FirewallFirewall
FirewallFabricio Figueiredo Leao
 
Firewall
FirewallFirewall
FirewallFernando Chuva
 
Firewall
FirewallFirewall
Firewallmauricio souza
 
Firewall
FirewallFirewall
FirewallChellton Almeida
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - FirewallLuiz Arthur
 
36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewallMarco Guimarães
 
Firewall
FirewallFirewall
Firewalldanielrcom
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Cleber Ramos
 

Empfohlen

Firewall
FirewallFirewall
FirewallFabricio Figueiredo Leao
 
Firewall
FirewallFirewall
FirewallFernando Chuva
 
Firewall
FirewallFirewall
Firewallmauricio souza
 
Firewall
FirewallFirewall
FirewallChellton Almeida
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - FirewallLuiz Arthur
 
36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewallMarco Guimarães
 
Firewall
FirewallFirewall
Firewalldanielrcom
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Cleber Ramos
 
Mecanismos de segurança linux
Mecanismos de segurança linuxMecanismos de segurança linux
Mecanismos de segurança linuxAllan Reis
 
Apresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linuxApresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linuxAllan Reis
 
Aula 7 semana
Aula 7 semanaAula 7 semana
Aula 7 semanaJorge Ávila Miranda
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semanaJorge Ávila Miranda
 
Aula 8 semana
Aula 8 semanaAula 8 semana
Aula 8 semanaJorge Ávila Miranda
 
Firewall
FirewallFirewall
Firewallcarlosdaniekl
 
Protocolos de Segurança
Protocolos de SegurançaProtocolos de Segurança
Protocolos de SegurançaDaiana de Ávila
 
Firewalls
FirewallsFirewalls
FirewallsTrabalhosCVIGR
 
Firewalls
FirewallsFirewalls
FirewallsTrabalhosCVIGR
 
Segurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiSegurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiMax Maia
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
Segurança nos Sistemas Operativos
Segurança nos Sistemas OperativosSegurança nos Sistemas Operativos
Segurança nos Sistemas OperativosJosé Roque
 
Segurança e protecção dos sistemas operativos
Segurança e protecção dos sistemas operativosSegurança e protecção dos sistemas operativos
Segurança e protecção dos sistemas operativosRodrigovieira99
 
Segurança na Interoperabilidade de Redes TCP IP
Segurança na Interoperabilidade de Redes TCP IPSegurança na Interoperabilidade de Redes TCP IP
Segurança na Interoperabilidade de Redes TCP IPBruno Milani
 
modulo- 4 - Tarefa Video sobre Internet
modulo- 4 - Tarefa Video sobre Internetmodulo- 4 - Tarefa Video sobre Internet
modulo- 4 - Tarefa Video sobre Internetbaglungekanchi
 
Firewall
FirewallFirewall
FirewallDavid Jr
 
Segurança em redes sem fio
Segurança em redes sem fioSegurança em redes sem fio
Segurança em redes sem fioWellisson Araújo
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Artigo Gerencia
Artigo GerenciaArtigo Gerencia
Artigo Gerenciafcarolinegms
 
Artigo Gerencia
Artigo GerenciaArtigo Gerencia
Artigo Gerenciafcarolinegms
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Eduardo Santana
 

Weitere ähnliche Inhalte

Was ist angesagt?

Mecanismos de segurança linux
Mecanismos de segurança linuxMecanismos de segurança linux
Mecanismos de segurança linuxAllan Reis
 
Apresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linuxApresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linuxAllan Reis
 
Segurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiSegurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiMax Maia
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
Segurança nos Sistemas Operativos
Segurança nos Sistemas OperativosSegurança nos Sistemas Operativos
Segurança nos Sistemas OperativosJosé Roque
 
Segurança e protecção dos sistemas operativos
Segurança e protecção dos sistemas operativosSegurança e protecção dos sistemas operativos
Segurança e protecção dos sistemas operativosRodrigovieira99
 
Segurança na Interoperabilidade de Redes TCP IP
Segurança na Interoperabilidade de Redes TCP IPSegurança na Interoperabilidade de Redes TCP IP
Segurança na Interoperabilidade de Redes TCP IPBruno Milani
 
modulo- 4 - Tarefa Video sobre Internet
modulo- 4 - Tarefa Video sobre Internetmodulo- 4 - Tarefa Video sobre Internet
modulo- 4 - Tarefa Video sobre Internetbaglungekanchi
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 

Was ist angesagt? (20)

Mecanismos de segurança linux
Mecanismos de segurança linuxMecanismos de segurança linux
Mecanismos de segurança linux
 
Apresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linuxApresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linux
 
Aula 7 semana
Aula 7 semanaAula 7 semana
Aula 7 semana
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semana
 
Aula 8 semana
Aula 8 semanaAula 8 semana
Aula 8 semana
 
Firewall
FirewallFirewall
Firewall
 
Protocolos de Segurança
Protocolos de SegurançaProtocolos de Segurança
Protocolos de Segurança
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewalls
FirewallsFirewalls
Firewalls
 
Segurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiSegurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av ii
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
 
Segurança nos Sistemas Operativos
Segurança nos Sistemas OperativosSegurança nos Sistemas Operativos
Segurança nos Sistemas Operativos
 
Segurança e protecção dos sistemas operativos
Segurança e protecção dos sistemas operativosSegurança e protecção dos sistemas operativos
Segurança e protecção dos sistemas operativos
 
Segurança na Interoperabilidade de Redes TCP IP
Segurança na Interoperabilidade de Redes TCP IPSegurança na Interoperabilidade de Redes TCP IP
Segurança na Interoperabilidade de Redes TCP IP
 
modulo- 4 - Tarefa Video sobre Internet
modulo- 4 - Tarefa Video sobre Internetmodulo- 4 - Tarefa Video sobre Internet
modulo- 4 - Tarefa Video sobre Internet
 
Firewall
FirewallFirewall
Firewall
 
Segurança em redes sem fio
Segurança em redes sem fioSegurança em redes sem fio
Segurança em redes sem fio
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_
 
Artigo Gerencia
Artigo GerenciaArtigo Gerencia
Artigo Gerencia
 
Artigo Gerencia
Artigo GerenciaArtigo Gerencia
Artigo Gerencia
 

Andere mochten auch

Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Eduardo Santana
 
Fasciculo inf segredes_unidade_1
Fasciculo inf segredes_unidade_1Fasciculo inf segredes_unidade_1
Fasciculo inf segredes_unidade_1Eduardo Santana
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Eduardo Santana
 
Apostila - Introdução ao Linux
Apostila - Introdução ao LinuxApostila - Introdução ao Linux
Apostila - Introdução ao LinuxEduardo Santana
 
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...Eduardo Santana
 
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...Eduardo Santana
 

Andere mochten auch (10)

Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2
 
Inf sis opeinf_semana6
Inf sis opeinf_semana6Inf sis opeinf_semana6
Inf sis opeinf_semana6
 
Fasciculo inf segredes_unidade_1
Fasciculo inf segredes_unidade_1Fasciculo inf segredes_unidade_1
Fasciculo inf segredes_unidade_1
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3
 
Inf seg redinf_semana6
Inf seg redinf_semana6Inf seg redinf_semana6
Inf seg redinf_semana6
 
Unidade2
Unidade2Unidade2
Unidade2
 
Apostila - Introdução ao Linux
Apostila - Introdução ao LinuxApostila - Introdução ao Linux
Apostila - Introdução ao Linux
 
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
 
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
 

Ähnlich wie Firewall: evolução e regras de proteção

Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosCarlos Veiga
 
Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Carlos Veiga
 
Segurança de Redes (Técnicas de Defesa - Firewall)
Segurança de Redes (Técnicas de Defesa - Firewall)Segurança de Redes (Técnicas de Defesa - Firewall)
Segurança de Redes (Técnicas de Defesa - Firewall)rbbrun41
 
Backup Artigo Equipe Final
Backup Artigo Equipe FinalBackup Artigo Equipe Final
Backup Artigo Equipe FinalLuma Seixas
 
Artigo Atividade 1 Gredes
Artigo Atividade 1 GredesArtigo Atividade 1 Gredes
Artigo Atividade 1 GredesAlbarado Junior
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfCarlos Gomes
 
62282591 senai-curso-avancado-redes
62282591 senai-curso-avancado-redes62282591 senai-curso-avancado-redes
62282591 senai-curso-avancado-redesMarco Guimarães
 
Redes de Computadores
Redes de ComputadoresRedes de Computadores
Redes de ComputadoresPaula Peres
 
36210961 curso-avancado-redes
36210961 curso-avancado-redes36210961 curso-avancado-redes
36210961 curso-avancado-redesMarco Guimarães
 
Gestão de Redes de Computadores e Serviços.pptx
Gestão de Redes de Computadores e Serviços.pptxGestão de Redes de Computadores e Serviços.pptx
Gestão de Redes de Computadores e Serviços.pptxHJesusMiguel
 
Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fio
Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fioUsando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fio
Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fioUFPA
 

Ähnlich wie Firewall: evolução e regras de proteção (20)

Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivos
 
Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01
 
Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + Iptables
 
Aula 05
Aula 05Aula 05
Aula 05
 
Segurança de Redes (Técnicas de Defesa - Firewall)
Segurança de Redes (Técnicas de Defesa - Firewall)Segurança de Redes (Técnicas de Defesa - Firewall)
Segurança de Redes (Técnicas de Defesa - Firewall)
 
Artigo Rodolfho
Artigo RodolfhoArtigo Rodolfho
Artigo Rodolfho
 
Artigo Rodolfho
Artigo RodolfhoArtigo Rodolfho
Artigo Rodolfho
 
Artigo Rodolfho
Artigo RodolfhoArtigo Rodolfho
Artigo Rodolfho
 
Artigo Rodolfho
Artigo RodolfhoArtigo Rodolfho
Artigo Rodolfho
 
Unidade 2.3 firewall
Unidade 2.3 firewallUnidade 2.3 firewall
Unidade 2.3 firewall
 
Backup Artigo Equipe Final
Backup Artigo Equipe FinalBackup Artigo Equipe Final
Backup Artigo Equipe Final
 
Artigo Atividade 1 Gredes
Artigo Atividade 1 GredesArtigo Atividade 1 Gredes
Artigo Atividade 1 Gredes
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdf
 
Firewall
Firewall Firewall
Firewall
 
62282591 senai-curso-avancado-redes
62282591 senai-curso-avancado-redes62282591 senai-curso-avancado-redes
62282591 senai-curso-avancado-redes
 
Redes de Computadores
Redes de ComputadoresRedes de Computadores
Redes de Computadores
 
36210961 curso-avancado-redes
36210961 curso-avancado-redes36210961 curso-avancado-redes
36210961 curso-avancado-redes
 
762- Redes.ppt
762- Redes.ppt762- Redes.ppt
762- Redes.ppt
 
Gestão de Redes de Computadores e Serviços.pptx
Gestão de Redes de Computadores e Serviços.pptxGestão de Redes de Computadores e Serviços.pptx
Gestão de Redes de Computadores e Serviços.pptx
 
Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fio
Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fioUsando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fio
Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fio
 

Mehr von Eduardo Santana

Fascículo Sistema Operacional Linux
Fascículo Sistema Operacional LinuxFascículo Sistema Operacional Linux
Fascículo Sistema Operacional LinuxEduardo Santana
 

Mehr von Eduardo Santana (7)

Unidade1
Unidade1Unidade1
Unidade1
 
Unidade O5
Unidade O5Unidade O5
Unidade O5
 
Unidade O4
Unidade O4Unidade O4
Unidade O4
 
Unidade O3
Unidade O3Unidade O3
Unidade O3
 
Unidade O2
Unidade O2Unidade O2
Unidade O2
 
Unidade O1
Unidade O1Unidade O1
Unidade O1
 
Fascículo Sistema Operacional Linux
Fascículo Sistema Operacional LinuxFascículo Sistema Operacional Linux
Fascículo Sistema Operacional Linux
 

Firewall: evolução e regras de proteção

  • 1. Professor Conteudista: Dailson de Oliveira Fernandes PERNAMBUCO, 2010.
  • 2. 2 CONTEÚDO PROGRAMÁTICO 4. Ferramentas de Proteção (Continuação) 4.1 Firewall – Uma visão mais aprofundada 4.2 Primeira Geração (Filtros de Pacotes) 4.2.1 Regras Típicas na Primeira Geração 4.3 Segunda Geração (Filtros de Estado de Sessão) 4.3.1 Regras Típicas na Segunda Geração 4.4 Terceira Geração (Gateway de Aplicação - OSI) 4.4.1 Regras Típicas na Terceira Geração 4.5 Quarta Geração e subseqüentes 4.6 Proxy 4.7 Firewall + Proxy (Proxywall) ou Gateways de Aplicação 4.8 Detecção de Intrusão 4.8.1 IDS 4.8.1.1 IDS baseados em Redes 4.8.1.2 IDS Distribuídos 4.8.2 IPS – Intrusion Prevention System 4.8.3 Como funcionam os Sistemas de Detecção de Intrusão
  • 3. 3 INTRODUÇÃO Olá pessoal! Na semana passada, começamos a abordar as ferramentas de proteção a sistemas computacionais. Já foram citadas as seguintes ferramentas: • Antivírus • Firewall Pessoal • Antispyware • Antispam • Antiphishing • Antikeylogger Na parte anterior deste fascículo, tratamos de segurança de computadores domésticos. Neste capítulo, vamos ter um olhar um pouco mais complexo e generalista da proteção, pois iremos tratar sobre segurança de redes de computadores, ferramentas de proteção de perímetro de redes, criação de zonas seguras de acesso, isolamento de redes locais e melhores práticas de segurança em ambientes corporativos. Iremos estudar sobre as seguintes ferramentas: Proxy Firewall + Proxy (Proxywall) IDS – Intrusion Detection System IPS – Intrusion Prevent System Ao final desta semana você será capaz de: • Conhecer a área de atuação de cada ferramenta; • Identificar e aplicar as ferramentas de acordo com cada situação; • Instalar e usar algumas destas ferramentas; Sempre Seguro! E... Boa leitura!
  • 4. 4 4. FERRAMENTAS DE PROTEÇÃO (CONTINUAÇÃO) A partir deste momento, iremos tratar de segurança de perímetro de rede, ou seja, ferramentas que estão a margem da nossa rede, de “frente” com a Internet. Geralmente quando estamos em rede local, estamos acessando a internet através de outras máquinas que nos garante este recurso compartilhando a conexão, criando regras de proteção e garantindo a estabilidade do serviço. Estas máquinas fazem um trabalho transparente, porém fundamental. Caso algumas dessas máquinas do perímetro parar de funcionar, imediatamente perdemos acessos a recursos como o de visitar páginas, ver e-mails, conversar no MSN e ler o fascículo do curso. Na figura abaixo, apresentamos um diagrama muito utilizado em redes corporativas. Note a LAN (Rede Local) onde os usuários e funcionários de uma empresa estão trabalhando, porém existe um perímetro de rede que fisicamente podem não estar no mesmo local onde o funcionário está trabalhando, porém logicamente fazem parte da mesma rede corporativa. Veja também a presença de uma DMZ (Zona de Rede Desmilitarizada) onde tem os serviços que utilizamos como e- mail e FTP. Note que o firewall está à frente destas zonas de rede, cuidando justamente do “Perímetro”. Note a posição estratégica dele. Ele está a frente da LAN e atrás da Internet, cabendo a ele estabelecer regras de acesso tanto da Internet para a Rede Local e DMZ, quanto da Rede Local e DMZ para a Internet. Note também que essa rede tem uma redundância de links de internet, provendo assim a conexão o tempo todo. Caso um link pare de funcionar, o outro supre a falta. Este tipo de técnica se chama “Tolerância a Falha”. Fonte: Mattia Gentilini
  • 5. 5 Saiba mais: DMZ, em segurança da informação, é a sigla para de DeMilitarized Zone ou "zona desmilitarizada", em português. Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet. A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc.) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local. A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controle de acesso entre a rede local, a internet e a DMZ (ou, em um modelo genérico, entre as duas redes a serem separadas e a DMZ). Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do equipamento, também chamadas de VLANs – Virtual LAN (Ou seja, redes diferentes que não se "enxergam" dentro de uma mesma rede - LAN). O termo possui uma origem militar, significando a área existente para separar dois territórios inimigos em uma região de conflito. Isto é utilizado, por exemplo, para separar as Coréias do Norte e do Sul. Fim do boxe 4.1 Firewall – Uma visão mais aprofundada Os sistemas firewall nasceram no final dos anos 80, fruto da necessidade de criar restrição de acesso entre as redes existentes. Nesta época a expansão das redes acadêmicas e militares, que culminou com a formação da ARPANET e, posteriormente, a Internet e a popularização dos primeiros computadores tornou-se um prato cheio para a emergente comunidade hacker. Casos de invasões de redes, de acessos indevidos a sistemas e de fraudes em sistemas de telefonia começaram a surgir, e foram retratados no filme Jogos de Guerra ("War Games"), de 1983. Em 1988, administradores de rede identificaram o que se tornou a primeira grande infestação de vírus de computador e que ficou conhecido como Internet Worm. Em menos de 24 horas, o worm escrito por Robert T. Morris Jr disseminou-se por todos os sistemas da então existente Internet (formado exclusivamente por redes de ensino e
  • 6. 6 governamentais), provocando um verdadeiro "apagão" na rede. Conheça agora a evolução dos sistemas de Firewall. 4.2 Primeira Geração (Filtros de Pacotes) • O modelo tratava-se de um filtro de pacotes responsável pela avaliação de pacotes do conjunto de protocolos TCP/IP; • Apesar do principal protocolo de transporte TCP orientar-se a um estado de conexões, o filtro de pacotes não tinha este objetivo inicialmente (uma possível vulnerabilidade). 4.2.1 Regras Típicas na Primeira Geração • Restringir tráfego baseado no endereço IP de origem ou destino; • Restringir tráfego através da porta (TCP ou UDP) do serviço. Saiba mais: Uma conexão de rede é regida por estados. Existem três estados possíveis para uma conexão: NEW: Novas conexões ESTABLISHED: Conexões já estabelecidas RELATED: Conexões relacionadas a outras existentes. Exemplo: Quando você acessa o site da SECTMA, você está iniciando uma conexão da sua máquina com o servidor Web onde está hospedado o site (NEW), quando o servidor responde, ele estabelece a comunicação (ESTABLISHED) e os dados que trafegam durante toda a conexão são dados relacionados a ela (RELATED). Um firewall que conhece esses estados é chamado de StateFul, pois ele pode limitar e/ou liberar quaisquer desses estados. Você quando acessa o site da SECTMA da rede local do telecentro, o firewall permite que novas conexões sejam geradas no sentido LAN WAN, porém se o site da SECTMA tentar sozinho aparecer no seu browser sem a sua requisição, será barrado, pois o firewall não aceita novas conexões no sentido WAN LAN, ele só aceita
  • 7. 7 estados ESTABLISHED e RELATED nesse sentido. Em uma configuração básica de um firewall Stateful é permitido novas conexões (NEW) no sentido LAN WAN, e só se permite conexões WAN LAN que tenham o estado ESTABLHISHED e RELATED. Fim do Boxe 4.3 Segunda Geração (Filtros de Estado de Sessão) • Pelo fato de o principal protocolo de transporte TCP orientar-se por uma tabela de estado nas conexões, os filtros de pacotes não eram suficientemente efetivos se não observassem estas características; • Foram chamados também de firewall de circuito. 4.3.1 Regras Típicas na Segunda Geração • Todas as regras da 1.ª Geração; • Restringir o tráfego para início de conexões (NEW); • Restringir o tráfego de pacotes que não tenham sido iniciados a partir da rede protegida (ESTABLISHED); • Restringir o tráfego de pacotes que não tenham número de seqüência corretos. 4.4 Terceira Geração (Gateway de Aplicação - OSI) • Também são conhecidos como "Firewall de Aplicação" ou "Firewall Proxy"; • Não confundir com o conceito atual de “Firewall de Aplicação” firewalls de camada de Aplicação eram conhecidos desta forma por implementarem o conceito de Proxy e de controle de acesso em um único dispositivo (o Proxy Firewall), ou seja, um sistema capaz de receber uma conexão, decodificar protocolos na camada de aplicação e interceptar a comunicação entre cliente/servidor para aplicar regras de acesso;
  • 8. 8 4.4.1 Regras Típicas na Terceira Geração • Todas as regras das gerações anteriores; • Restringir acesso FTP a usuários anônimos; • Restringir acesso HTTP para portais de entretenimento; • Restringir acesso a protocolos desconhecidos na porta 443 (HTTP/HTTPS). 4.5 Quarta Geração e subseqüentes • O firewall consolida-se como uma solução comercial para redes de comunicação TCP/IP; • Stateful Inspection para inspecionar pacotes e tráfego de dados baseado nas características de cada aplicação, nas informações associadas a todas as camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e no estado das conexões e sessões ativas; • Prevenção de Intrusão para fins de identificar o abuso do protocolo TCP/IP mesmo em conexões aparentemente legítimas; • Deep Packet Inspection associando as funcionalidades do Stateful Inspection com as técnicas dos dispositivos IPS. Ou seja, além de controlar o estado da conexão, o firewall é capaz de ler conteúdo dos pacotes. • A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para ser aplicada também em estações de trabalho e computadores domésticos (o chamado "Firewall Pessoal"), além do surgimento de soluções de firewall dedicado a servidores e aplicações específicas (como servidores Web e banco de dados). 4.6 Proxy Proxy é um servidor que atende a requisições repassando os dados do cliente a frente. Um usuário (cliente) conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor. Um servidor proxy pode, opcionalmente, alterar a requisição do cliente ou a resposta do servidor e, algumas vezes, pode disponibilizar este recurso sem nem mesmo se conectar ao servidor especificado. Pode também atuar como um servidor que armazena dados em forma de cache em redes de computadores. São instalados em máquinas com ligações tipicamente superiores às dos clientes e com poder de armazenamento elevado.
  • 9. 9 Esses servidores têm uma série de usos, como filtrar conteúdo, providenciar anonimato, entre outros. Um HTTP caching proxy, por exemplo, permite que o cliente requisite um documento na World Wide Web e o proxy procura pelo documento em seu cache. Se encontrado, o documento é retornado imediatamente. Caso contrário, o proxy busca o documento no servidor remoto, entrega-o ao cliente e salva uma cópia no seu cache. Isso permite uma diminuição na latência, já que o servidor proxy, e não o servidor original, é acessado, proporcionando ainda uma redução do uso de banda. Veja na figura abaixo o funcionamento básico de um Proxy. As estações de uma rede local com IP de rede local (inválidos na internet) acessando a internet através de uma única máquina, o Proxy. Fonte: linux-tip.net Saiba mais: Cache é um dispositivo de acesso rápido, interno a um sistema, que serve de intermediário entre um operador de um processo e o dispositivo de armazenamento ao qual esse operador acesse. Podemos e devemos utilizar um Cache para melhorar a navegação na internet em uma empresa ou em redes locais. Pois a função é armazenar temporariamente arquivos e páginas acessadas em uma máquina, fazendo com que o próximo cliente que for acessar a mesma página ou arquivo não vá novamente à internet buscar a informação mas sim na rede local que é bem mais
  • 10. 10 rápido. Exemplo: imagine que você acabou de acessar o site da SECTMA e baixou mais um fascículo para ler. O seu colega que chegar depois de você, quando for solicitar o mesmo arquivo, o cache que está na sua rede local, já terá este arquivo, não sendo mais necessário o download dos computadores da SECTMA que ficam na capital, dando a impressão de super velocidade, porém sabemos que isso é apenas um artifício. Este exemplo serve para sites, fotos, músicas e quaisquer outras informações da internet. Veja na figura abaixo, uma rede um pouco mais complexa, com dois Proxys, onde os clientes acessam a internet normalmente. Caso a página já tenha sido acessada por outro computador, o acesso será a velocidade local, caso ele seja o primeiro, o acesso será normal a internet. Fonte: http://www.codeproject.com/KB/aspnet/ExploringCaching.aspx Fim do Boxe Latência - é a medida do tempo decorrido entre o início de uma atividade e a sua conclusão. Seria o atraso do início da requisição de um site até a chegada efetiva no nosso navegador. O Surgimento do Proxy O proxy surgiu da necessidade de conectar uma rede local à Internet através de um computador da rede que compartilha sua conexão com as demais máquinas. Em outras palavras, se considerarmos que a rede local é uma rede "interna" e a Internet é uma rede "externa", podemos dizer que o proxy é que permite outras máquinas terem acesso externo. Geralmente, máquinas da rede interna não possuem endereços válidos na
  • 11. 11 Internet e, portanto, não têm uma conexão direta com a Internet. Assim, toda solicitação de conexão de uma máquina da rede local para um host da Internet é direcionada ao proxy, este, por sua vez, realiza o contato com o host desejado, repassando a resposta à solicitação para a máquina da rede local. Por este motivo, é utilizado o termo proxy para este tipo de serviço, que é traduzido para procurador ou intermediário. É comum termos o proxy com conexão direta com a Internet. Mas como Proxy funciona como ferramenta de segurança ? Geralmente um Proxy é instalado para melhorar o acesso a Internet e também para compartilhar um link e balancear o uso da banda (velocidade de acesso) a internet. O Proxy é um intermediário único entre uma rede local e a Internet e ele permite que sejam criadas regras de acesso. É possível bloquear acesso a sites por endereço ou negar palavras ou limitar horários de navegação. Vejam alguns exemplos possíveis em Proxys: Negar as seguintes URLs: www.playboy.com.br www.jogosonline.com.br www.superdownloads.com.br Negar acesso a sites que contenham as palavras: • Sexo • Jogos • pornografia • pirata Limitar o horário de navegação a estação do usuário Paulo • Segunda a Sexta: 08:00 as 12:00hs • Sábados e Domingos – Proibido Proibir downloads de Arquivos do tipo: • Música - mp3, wma, wav, cda... • Filmes - mp4, avi, mpeg, mpg, mov, flv ... • Programas – exe, com, Bin...
  • 12. 12 • Imagens de CDs e DVDs - ISO, CUE, DAA, BIN Limitar acesso a sites pessoais em determinados horários: O Usuário poderá ler seus emails pessoais na hora do almoço: • Acesso a hotmail, bol, gmail, Yahoo... 12:00 as 14:00hs Além dessas características, o Proxy tem a habilidade de logar (fazer logs) de todos os sites acessados, arquivos baixados e arquivos enviados. Estas habilidades tornam o Proxy uma ferramenta de proteção de perímetro de rede. No mundo do Software Livre, o Proxy mais conhecido é o Squid – http://www.squid-cache.org, se você quiser conhecer alguns em plataforma Windows, sugiro o ISA Server da Própria Microsoft. Existem algumas alternativas gratuitas como o Analogx – http://www.analogx.com 4.7 Firewall + Proxy (ProxyWall) ou Gateways de Aplicação Os conceitos de gateways de aplicação (application-level gateways) e "bastion hosts" foram introduzidos por Marcus Ranum em 1995. Trabalhando como uma espécie de eclusa (vide figura abaixo), o firewall de proxy trabalha recebendo o fluxo de conexão, tratando as requisições como se fossem uma aplicação e originando um novo pedido sob a responsabilidade do mesmo firewall para o servidor de destino. A resposta para o pedido é recebida pelo firewall e analisada antes de ser entregue para o solicitante original. Os gateways de aplicações conectam as redes corporativas à Internet através de estações seguras (chamadas de bastion hosts) rodando aplicativos especializados para tratar e filtrar os dados (os proxy firewalls). Estes gateways, ao receberem as requisições de acesso dos usuários e realizarem uma segunda conexão externa para receber estes dados, acabam por esconder a identidade dos usuários nestas requisições externas, oferecendo uma proteção adicional contra a ação dos crackers.
  • 13. 13 As Eclusas do Canal do Panamá. Só é possível passar, quando elas estão abertas. O mesmo acontece com um Firewall Proxy ou Proxywall. Fonte: Mattia Gentilini Arqutietura com uso de Bastion Host. Máquina que fica na área de choque com a internet. Funciona como uma eclusa e faz a filtragens de pacotes TCP/IP, restrições de acesso, pode ser usada com proxy e compartilhamento de banda. Fonte: Mattia Gentilini Note que o ProxyWall ou Firewall Proxy ou ainda Gateway de Aplicação, está instalado em uma única máquina e provê os dois papéis podendo ainda trabalhar como cache. Observe também uma estrutura um pouco mais elaborada, contendo duas redes locais isoladas, uma rede sem fio (Wireless) e a presença da Zona Desmilitarizada (DMZ).
  • 14. 14 Fonte: Mattia Gentilini Saiba mais: Existe algumas correntes na área de Segurança da Informação que diz que concentrar vários serviços em uma só máquina é potencializar os riscos de segurança. Neste caso o proxywall não é uma boa alternativa segundo esse grupo. O Ideal seria colocar um Firewall de frente com a Internet e logo atrás uma máquina fazendo a função de Proxy. Essa tendência continua em relação a outros serviços como IPS e IDS. Cada um em um hardware específico ou em máquinas virtualizadas. Fim do boxe 4.8 Detecção de Intrusão “Provavelmente muitas pessoas já devem ter ouvido falar sobre a detecção de intrusão, mas geralmente não compreendem porque precisam utilizá-la em seu sistema. Sem a detecção de intrusão, muitos ataques podem acontecer sem que sejam percebidos. Assim como não é possível obter informações sobre ataques que ocorrem de forma bem-sucedida, não é possível obter informações suficientes para poder prevenir um novo ataque” (SANTOS, 2005). A partir deste ponto iremos tratar de duas ferramentas de segurança que tem a função de barrar ou detectar ataques que não são percebidos por um firewall, antivírus, antispyware ou outra ferramenta desse gênero. São ataques mais elaborados do tipo SQL Injection ou DNS Poisoning. O firewall não trata de texto passado via URLs no browser nem pacotes TCP que contenham informações maliciosas. Neste cenário entram os Sistemas de Detecção de Intruso: IDS e IPS.
  • 15. 15 4.8.1 IDS Sistema de detecção de intrusos ou simplesmente IDS (em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. Com o acentuado crescimento das tecnologias de infra-estrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados. Uma solução bastante discutida é a utilização de host-based IDS (HIDS) que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina. Note que na arquitetura HIDS, cada máquina tem um IDS instalado de modo separado. Fonte: Ryan Russel (2003) 4.8.1.1 IDS baseados em Redes Os IDS baseados em rede (NIDS – Network IDS) são os mais utilizados. Este tipo de IDS consegue monitorar o tráfego de uma rede inteira, sendo mais abrangente que o HIDS. A arquitetura NIDS combina máquinas que hospedam sensores IDS que farão a captura de dados e uma estação dedicada em realizar o gerenciamento das informações coletadas pelos sensores, possuindo, de acordo com a ferramenta
  • 16. 16 utilizada, geração de logs, interfaces gráficas entre outros suportes. Desta forma, poucos IDSs instalados podem monitorar uma grande rede e não interferir no seu desempenho. Por outro lado, podem ter dificuldades em analisar todos os pacotes numa rede grande ou sobrecarregada em períodos de tráfego intenso. Outro ponto importante é que os IDSs baseados em rede não podem analisar informações criptografadas. Note que na arquitetura NIDS, o IDS fica cuidando do perímetro da rede Fonte: Ryan Russel (2003) 4.8.1.2 IDS Distribuídos O DIDS (Distributed IDS) funciona em uma arquitetura cliente/servidor. Os sensores de detecção do NIDS ficam em locais distantes e se reportam a uma estação de gerenciamento centralizada. O upload dos logs de ataque é feito periodicamente na estação de gerenciamento e eles podem ser armazenados em um banco de dados central; o download de novas assinaturas de ataque pode ser feito nos sensores, de acordo com a necessidade. As regras de cada sensor podem ser personalizadas para atender às suas necessidades individuais. Os alertas podem ser encaminhados para um sistema de troca de mensagens localizados na estação de gerenciamento e usados para notificar o administrador do IDS. A Figura abaixo mostra um esquema de quatro sensores e uma estação de gerenciamento centralizada. “Os sensores NIDS 1 e NIDS 2 estão operando em modo promíscuo e secreto e estão protegendo os servidores públicos. Os sensores NIDS 3 e NIDS 4 estão protegendo os sistemas host”. (OLIVEIRA, 2004).
  • 17. 17 Um sistema DIDS pode ser visto também como um sistema híbrido onde arquiteturas HIDS e NIDS são combinadas, alimentando um sistema central que gerencia os dados. Note que na arquitetura DIDS, há uma vários HIDS se comunicando e enviando informações para um nó mestre, semelhante a uma arquitetura cliente servidor. Fonte: Ryan Russel (2003) 4.8.2 IPS – Intrusion Prevention System Um sistema de prevenção de intruso (em inglês: Intrusion Prevention System) é um dispositivo de segurança de rede que monitora o tráfego e/ou atividades dos sistemas em busca de comportamentos maliciosos ou não desejáveis, em tempo real, para bloquear ou prevenir essas atividades. Um IPS baseado em rede, por exemplo, vai operar em linha para monitorar todo o tráfego em busca de códigos maliciosos ou ataques. Quando um ataque é detectado, é possível bloquear os pacotes danosos enquanto o tráfego normal continua seu caminho. Sistema de prevenção de intruso evoluiu no final dos anos noventa para resolver as ambigüidades no monitoramento de rede passivo ao colocar a detecção em linha. No começo o IPS era apenas um IDS que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais robusto, uma vez que, apenas comandar o firewall ainda deixava que ao menos
  • 18. 18 aquele pacote malicioso trafegasse na rede, a solução era implementar formas inteligentes de bloqueio dentro do IPS. Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação, e não apenas no endereço IP ou em portas como os firewalls tradicionais trabalham. Entretanto, nada impede que para otimizar a performance muitos IPS utilizem regras baseadas em portas e endereço IP. O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens entre o IPS baseado em host e o IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que muita da tecnologia de IPS de rede evoluiu e hoje pode tranqüilamente exercer também as funções de host (instalado em uma única máquina). A qualidade de um sistema de prevenção de intruso está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativa baixa. Saiba mais: Falso positivo: é quando o IPS/IDS se engana e classifica como um tráfego malicioso uma ação normal do sistema. Falso negativo: ocorre quando o IPS/IDS não acusa o tráfego malicioso e o deixa passar normalmente como dados normais. Fim do boxe 4.8.3 Como funcionam os Sistemas de Detecção de Intrusão A invasão de um sistema é um ato de entrar em um perímetro de rede sem acesso autorizado, seja ele para danificar informações e serviços ou capturá-las. Os Sistemas de Detecção de Intrusão e os Sistemas de Prevenção de Intrusão devem estar aptos para perceber e reagir aos ataques intrusivos e não intrusivos em um determinado perímetro da rede. Os IPS e IDS devem estar sinalizando principalmente aos ataques intrusivos, para que eles não ocorram, ou se ocorrerem, sejam gerados alertas para que imediatamente providências sejam tomadas e os efeitos minimizados. A competência de não deixar que uma intrusão ocorra é da alçada de um IPS, a de alertar é do IDS, porém os sistemas hoje que trabalham com prevenção e negação da intrusão tem cada vez mais fundido este conceito se tornando como uma só ferramenta, que dependendo do perfil de configuração poderá se comportar de uma forma ou de outra, ou ainda atuando em paralelo como IPS e IDS, porém, conceitualmente os IDS deveriam detectar a invasão e gerarem
  • 19. 19 alertas identificando que um ataque está acontecendo naquele determinado momento e esperar que outras ferramentas, que trabalham em paralelo com ele, façam o trabalho de negar o ataque ou ainda aprender sobre ele. Já o IPS teria o foco principal de negar a intrusão na entrada principal da rede, podendo ainda juntamente com ação de negar, ter a característica de gerar alerta. O IPS não precisa de ferramentas adicionais para negar um ataque, ele em sua arquitetura já traz internamente estas características. “O modo mais simples de definir um IDS seria descrevê- lo como uma ferramenta capaz de inspecionar o payload (conteúdo) dos pacotes a procura correspondências de ataques. Além desta característica, um IDS tem a capacidade de ler e interpretar o conteúdo de arquivos de logs de roteadores, firewalls, servidores e outros dispositivos de rede.” (SANTOS, 2005). A frase acima é em relação aos dados que tem no pacote em comparação com um arquivo de assinaturas de ataque que o IDS tem em seus arquivos. A condição básica para um IDS é que ele possa escutar todo o tráfego da rede, não só endereçado a rede local ou internet, mas qualquer dado que trafegue por aquele perímetro. Para ter tal característica, é necessário que a placa de rede se coloque em modo promíscuo e a partir daí passar para os dispositivos internos do sistema IDS para que o tráfego possa ser tratado. Demonstração do fluxo de dados e condição para capturá-lo com uma Interface de Rede em Modo Promíscuo Fonte: Adaptado de Ryan Russel (2003) Saiba mais: Modo Promíscuo: em relação à Ethernet, é um tipo de configuração de recepção na qual todos os pacotes que trafegam pelo segmento de rede ao qual o receptor está conectado são recebidos pelo mesmo, não recebendo apenas os pacotes endereçados ao próprio. Uma importante aplicação para esta configuração
  • 20. 20 são os sniffers. Vários sistemas operacionais exigem privilégios de administração para ativar o modo promíscuo da rede. Fim do Boxe Existem programas que utilizam essa técnica para mostrar os dados sendo trafegados pela rede. Alguns protocolos como FTP e Telnet transferem conteúdo e senhas em modo texto, sem criptografia, sendo possível assim capturar tais dados em modo promíscuo a partir de outros computadores. Programas como o TCPDUMP e o WIRESHARK usam o modo promíscuo para poder capturar todo o tráfego de rede. Hoje no mundo do software podemos citar a marca líder do mercado de IDS que é o SNORT, que você encontrará mais informações no site http://www.snort.org/ . O Snort é Open Source e é gratuito. Símbolo do Snort Fonte: Eriberto Mota No mercado de IPS, cito um software nacional que também é o HLBR – Hogwash Light Brasil. Para conhecer melhor a área de atuação destas ferramentas, sugiro a leitura complementar deste tutorial que além de imagens, trás vídeos sobre a ferramenta: http://www.dailson.com.br/2007/09/tutorial-de-instalao-do-ips-hlbr.html Símbolo do HLBR Fonte: Eriberto Mota Saiba Mais: Existem hoje soluções que são vendidas em forma de appliance. É possível adquirir no mercado hoje aparelhos que reúnem todo tipo de solução em uma única peça. Existem appliance que são Firewall, antivírus, Antispam, Proxy, IDS, IPS e uma
  • 21. 21 série de outras ferramentas de forma fácil e segura. Existe uma solução brasileira chamada BRMA Vá ao site e conheça todos os recursos através de uma documentação vasta e bem ilustrada. Não deixe de fazer esta leitura complementar: http://www.brc.com.br/ Fim do Boxe
  • 22. 22 RESUMO DMZ (Zona Desmilitarizada) é a área de uma rede local que é destinada para acesso público. Geralmente é uma rede separada fisicamente e logicamente da rede local de uma empresa. Um Firewall ou Proxy ou ainda um Proxywall pode criar e gerar perímetros de rede. Pode-se e deve separar a LAN da DMZ. Atualmente nos encontramos na 4ª geração de firewalls. Hoje os firewall é capaz de reconhecer os estados da conexão. Os estados da conexão são: NEW, ESTABLISHED e RELATED. NEW: Novas conexões ESTABLISHED: Conexões já estabelecidas RELATED: Conexões relacionadas a outras existentes. Um firewall que conhece esses estados é chamado de StateFul, pois ele pode limitar e/ou liberar quaisquer desses estados. Proxy é um servidor que atende a requisições repassando os dados do cliente a frente. Um proxy pode também ter a função de cache. A função de um cache é de acelerar a navegação armazenando itens que são comumente acessados. O Proxy funciona também como uma ferramenta de segurança, pois ele é capaz de criar ACLs – Lista de Controle de Acessos. O Cache mais conhecido do mundo do software livre é o Squid. ProxyWall é a junção de um filtro de pacotes (firewall) com um proxy na mesma máquina. Um ProxyWall é também conhecido com Gateway de Aplicação. Devemos evitar diversos serviços de segurança na mesma máquina. Isto é totalmente condenável. Um firewall não é capaz de detectar tentativas de intrusão. Para isso existem ferramentas como IPS e IDS. IDS - Sistema de detecção de intrusos refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. Existem basicamente 3 tipos de IDS: HIDS, NIDS e DIDS. Os HIDS – Host IDS são os sistemas de detecção de intruso que são instalados em uma única máquina. (host) Os NIDS - Network IDS são os sistemas de detecção de intruso que são instalados no
  • 23. 23 perímetro da rede. Os DIDS - Distributed IDS são os sistemas de detecção de intruso que são instalados na arquitetura cliente/servidor. Outra categoria de IDS são os IPS. O IPS – Sistemas de Prevenção de Intruso é um dispositivo de segurança de rede que monitora o tráfego e/ou atividades dos sistema em busca de comportamentos maliciosos ou não desejáveis, em tempo real, para bloquear ou prevenir essas atividades. A grande diferença de um IDS para um IPS é que o IDS monitora e alerta o administrador de uma eventual invasão. O IPS avisa e nega a invasão. A competência de não deixar que uma intrusão ocorra é da alçada de um IPS, a de alertar é do IDS. OS IDS e IPS trabalham com a placa de rede em modo promíscuo. Uma placa de rede quando está em modo promíscuo “escuta” todo o tráfego da rede destinado a ela ou não. Falso positivo: é quando o IPS/IDS se engana e classifica como um tráfego malicioso uma ação normal do sistema. Falso negativo: ocorre quando o IPS/IDS não acusa o tráfego malicioso e o deixa passar normalmente como dados normais. Um excelente IDS gratuito é o SNORT. Um excelente IPS gratuito é o HLBR.
  • 24. 24 Referências bibliográficas: Partes dos Textos deste capítulo tem os seguintes créditos: “Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/” Sites visitados http://hlbr.sf.net http://www.dailson.com.br Santos, Bruno. Detecção de intrusos utilizando o Snort. Monografia de Pós- Graduação. Monografia - Universidade Federal de Lavras, Lavras - MG, 2005. Cartilha de Segurança da Internet, http://nic.br , http://cert.br e http://cartilha.cert.br Northcutt, Stephen; Zeltser, Lenny; Winters, Scott; [et al]. “Desvendando segurança em redes: o guia definitivo para fortificação de perímetros de redes usando firewalls, VPNs, roteadores e sistemas de detecção de invasores”. Rio de Janeiro: Campus, 2002. Ned, Frank “Ferramentas de IDS” – Rede Nacional de Ensino e Pesquisa (RNP) 17 de Setembro de 1999, Vol 3, Nº 5. Russel, Beale, Foster, Posluns, Caswell; [et al]. – “Snort Intrusion Detection – Everything You Need to Know to Defend Your Company”. Syngress, 2003. Schulter, Alexandre - “Integração de Sistemas de Detecção de Intrusão para Segurança de Grades Computacionais” – Monografia. Universidade Federal de Santa Catarina, 2006. Andrade de Oliveira, Rodrigo – “Desenvolvimento de uma Estrutura de Resposta Ativa Utilizando o IDS Snort” – Faculdade de Informática Presidente Prudente, 2004.