Documente Academic
Documente Profesional
Documente Cultură
html
ndice
1.
2.
Definio
Internet Protocol 3. Geraes dos Firewalls 4. Objetivos, Razes e Limitaes do Firewall 5. Algoritmo do Firewall e Portas TCP/IP 6. Filtro de pacotes e Regras de Portas 7. NAT 8. DMZ 9. Intruso (IDS e IPS) 10. Monitorao
Definio
Definio
o nome dado ao dispositivo de uma rede de
computadores que tem por funo regular o trfego de dados entre redes distintas e impedir a transmisso e/ou recepo de dados nocivos ou no autorizados de uma rede a outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicaes, comumente associados a redes TCP/IP. Elo de ligao de um permetro protegido (conjunto de redes e mquinas) a uma rede insegura (Internet).
Definio (cont)
Existe na forma de software e hardware, ou na
combinao de ambos. A complexidade de instalao depende do tamanho da rede, do volume de regras que autorizam o fluxo de entrada e sada de informaes e do grau de segurana desejado.
Quando surgiu ?
Os sistemas firewall nasceram no final dos anos 80,
mais em especial em 1988, quando administradores de rede identificaram o que parecia ser uma evoluo natural dos vrus de computador Internet Worm. Em menos de 24 horas, o worm escrito por Robert T. Morris Jr disseminou-se por todos os sistemas autnomos da Internet (formado exclusivamente por redes de ensino e governamentais), provocando um verdadeiro apago na rede.
que este desempenha para evitar o alastramento de dados nocivos dentro de uma rede de computadores, na traduo parede corta-fogo.
Um firewall pode evitar que acessos indevidos sejam feitos a uma rede a partir de outra rede, mas no impede que usurios internos da rede ataquem seus recursos
Infra-estrutura de Comunicao
PROVEDOR
Servidor Web
INTERNET BACKBONES
PROVEDOR
clientes
PROVEDOR
clientes
ndice
1.
Definio
2. Internet Protocol
Geraes dos Firewalls 4. Objetivos, Razes e Limitaes do Firewall 5. Algoritmo do Firewall e Portas TCP/IP 6. Filtro de pacotes 7. NAT 8. DMZ 9. Monitorao 10. Intruso
3.
Internet Protocol
Internet Protocol
considerado o protocolo de rede mais usado pelas empresas, governos e Internet. Suporta muitas aplicaes pessoais, tcnicas e de negcio, desde o email e processamento de dados at transferncia de som e imagem. O IP permite enderear, routear e controlar funes de transmisso e de recepo de datagramas sobre uma rede.
Internet Protocol
Cada datagrama inclui o seu endereo de origem e de destino, informao de controlo e algum dado passado de ou para o host. A informao do endereo usada para determinar o melhor caminho que o pacote pode tomar, para chegar ao seu destino. No entanto, o IP no possui nenhum dado de controle do caminho.
datagrama que recebe do host. Se exceder o tamanho permitido pela rede fsica, o IP parte o datagrama em fragamentos mais pequenos, de acordo com a capacidade da rede. Ao chegar ao destino, os datagramas so reasemblados e entregues ao destinatrio.
Flags TCP
RES: Reservado (2 bits) URG: Urgent Point
ACK: Acknowlegment
0 4 8 12
PSH: Push Request RST: Reset Connection SYN: Synchronize Seqence Number FIN: Mais dados do transmissor
16 20 24 28 31
Byte 2
Byte 3
Nmero de Seqncia Nmero de Confirmao HLEN Reservado BITS DE CDIGO Janela de Recepo Ponteiro de Urgncia Opes Dados ..
Segurana de Redes de Computadores 18
Checksum
ndice
1. 2. 4.
Geraes de Firewalls
1a.Gerao (Filtros de Pacotes)
2a.Gerao (Filtros de Estado de Sesso) 3a.Gerao (Gateway de Aplicao - OSI) 4a.Gerao e subsequentes
Filtros de Pacotes
Estes sistemas analisam individualmente os pacotes
medida em que estes so transmitidos, verificando o acoplamento entre a camada de enlace (camada 2 do modelo ISO/OSI) com a camada de rede (camada 3 do modelo ISO/OSI). As regras podem ser formadas indicando os endereos de rede (de origem e/ou destino) e as portas TCP/IP envolvidas na conexo. A principal desvantagem desse tipo de tecnologia para a segurana reside na falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (IP Spoofing).
Filtragem de Pacotes
Aplicati vo
Aplicao
Aplicati vo
Aplicao
Aplicao
TCP IP
UDP
Sistema operacional
Placa de rede
Programa externo
pesquisa sustentadada pela DEC (Digital Equipment Corporation) O modelo tratava-se de um filtro de pacotes responsvel pela avaliao de pacotes do conjunto de protocolos TCP/IP Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo para prova de conceito;
Regras do Modelo
Restringir trfego atravs de endereo IP de
origem ou destino; Restringir trfego atravs da porta (TCP ou UDP) do servio; Obs - At hoje este tipo de tecnologia adotada equipamentos de rede para configuraes de acesso simples (as chamadas "listas de acesso" ou "access lists"). O ipchains tambm exemplo de um firewall desta gerao
Regras do Modelo
Regras que vo filtrar pacotes IP e os que no estejam de
acordo com as regras so eliminados: Endereos IP (de origem e/ou destino) Portas de transporte (origem e/ou destino) Sentidos de criao de circuitos virtuais Cabealho ICMP Dimenso dos datagramas; As regras baseiam-se em campos includos nos cabealhos dos pacotes IP, TCP e UDP, como por exemplo o IP Address, o IP Protocol field (que define o protocolo de transporte) e os nmeros das portas do TCP ou UDP (que definem a aplicao destino).
Possveis Vulnerabilidades:
Apesar do principal protocolo de transporte TCP
orientar-se a um estado de conexes, o filtro de pacotes no tinha este objetivo inicialmente No realizando nenhum tipo de decodificao do protocolo ou anlise criteriosa na camada de aplicao O packet filter no se encarrega de examinar nenhum protocolo de nvel superior ao nvel de transporte, como por exemplo, o nvel de aplicao que fica como tarefa dos application gateways (proxy servers). Portanto, qualquer falha de segurana ao nvel de aplicao no pode ser evitada utilizando somente um packet filter.
inspecionados
TCP Header: Sequence Number Source Port, Destination Port, Checksum
Internet
Trfego de entrada
Web Server
Filtro de Pacotes
ao permite origem * porta * destino * porta 25 comentrio SMTP port
falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (IP Spoofing para serem injectados na sesso. Setup e coerncia das regras (baixo nvel de abstraco) Granularidade dos critrios de autenticao e autorizao Defesa contra certo tipo de ataques e possibilidades de se tomarem medidas: IP spoofing na origem Source Routing Trfego permitido pode no ser o que se pensa Um segmento TCP que passou para porta 80 mesmo trfego WEB ? Tiny Fragment Attacks / DoS e DDoS
IP Spoofing
O IP Spoofing um ataque que pode ser evitado com a
aplicao do recurso exposto acima. Neste ataque, o intruso tenta passar por um host interno (um host considerado confivel) utilizando o endereo IP deste como o endereo fonte. Se a filtragem realizada por interface em ambos os sentidos, este ataque no funciona porque um pacote nunca pode chegar do mundo externo (Internet) tendo como endereo fonte o endereo de uma mquina que est na rede interna; ou seja, s poderia chegar quela interface no outro sentido. Este tipo de ataque est exemplificado na figura a seguir:
IP Spoofing
IP Spoofing
No contexto de redes de computadores, IP spoofing uma
tcnica de subverso de sistemas informticos que consiste em mascarar (spoof) pacotes IP com endereos remetentes falsificados. Devido s caractersticas do protocolo IP, o reencaminhamento de pacotes feito com base numa premissa muito simples: o pacote dever ir para o destinatrio (endereo-destino); no h verificao do remetente o router anterior pode ser outro, e ao nvel do IP, o pacote no tem qualquer ligao com outro pacote do mesmo remetente. Assim, torna-se trivial falsificar o endereo de origem, i.e., podem existir vrios computadores a enviar pacotes fazendo-se passar pelo mesmo endereo de origem, o que representa uma srie ameaa para os velhos protocolos baseados em autenticao pelo endereo IP.
IP Spoofing
Esta tcnica, utilizada com outras de mais alto nvel,
aproveita-se, sobretudo, da noo de confiabilidade que existe dentro das organizaes: supostamente no se deveria temer uma mquina de dentro da empresa, se ela da empresa. Por outro lado, um utilizador torna-se tambm confivel quando se sabe de antemo que estabeleceu uma ligao com determinado servio. Esse utilizador torna-se interessante, do ponto de vista do atacante, se ele possuir (e estiver a usar) direitos privilegiados no momento do ataque.
IP Spoofing
Falsificao de um pacote: A cada pacote enviado estar geralmente associada uma resposta (do protocolo da camada superior) e essa ser enviada para a vtima, pelo o atacante que no pode ter conhecimento do resultado exacto das suas aces apenas uma previso.
37
desenvolvido no comeo dos anos 90 pelo Bell Labs; Pelo fato do principal protocolo de transporte TCP orientar-se por uma tabela de estado nas conexes, filtro de pacotes no eram suficientemente efetivos se no observassem estas caractersticas; Foram chamados tambm de Firewall de circuito.
sido iniciados a partir da rede protegida (ESTABLISHED); Restringir o trfego de pacotes que no tenham nmero de sequncia corretos;
Cheswick; Tambm so conhecidos como "Firewall de Aplicao" ou "Firewall Proxy; Foi nesta gerao que se lanou o primeiro produto comercial em 13 de Junho de 1991 -- o SEAL da DEC; Diversos produtos comerciais surgiram e se popularizaram na dcada de 90, como os firewalls Raptor, Gauntlet e Sidewinder, entre outros; Obs: No confundir com o conceito atual de Firewall de Aplicao -- firewalls de camada de Aplicao eram conhecidos desta forma por implementarem o conceito de Proxy e de controle de acesso em um nico dispositivo (o Proxy Firewall), ou seja, um sistema capaz de descodificar protocolos na camada de aplicao e interceptar a comunicao entre cliente/servidor para aplicar regras de comunicao
que um Packet-Filtering Router Melhor gesto de controlo de acessos Melhores caractersticas para monitorizao e auditoria de controlo de acessos
pode originar vulnerabilidades) Mais processamento adicional: processamento ligao a ligao aplicao a aplicao) Eventuais problemas de carga e desempenho
host externo
host interno
Configurao exige menos combinaes Tende a ser mais segura Auditoria mais simples
1*
80
1024
1025
1024
1080
Proxy de Aplicao
1024
80
Server
O cliente SOCKS inclui automaticamente informaes adicionais (durante a conexo TCP ou nos pacotes UDP), que so utilizadas pelo Proxy SOCKs para localizar o Servidor de Destino.
CONNECT: IP_Destino, Porta_Destino, UserID
Cliente Socks
1024
1080
Socks Proxy
1024
80
Server
Servidor Proxy
servidor proxy: Dispositivo responsvel por intermediar a conexo entre
os hosts internos e o mundo externo. O servidor proxy (procurador) geralmente implementado atravs de um computador com duas interfaces de rede, uma conectada a rede interna e a outra a rede externa. Quando um cliente necessita acessar informaes de um servidor externo, ele efetua o pedido ao servidor proxy. O servidor proxy, por sua vez, contata o servidor externo e retorna o resultado ao cliente. Nesse procedimento, o nico computador da rede exposto ao mundo externo o servidor proxy.
INTRANET
IP FRIO
INTERNET
IP QUENTE
Servidor Proxy
servidor proxy: Dispositivo responsvel por intermediar a
IP FRIO
IP QUENTE
INTRANET
INTERNET
Proxy
IPQ-E
IPQ-D
IPF-C
IPF-A
IP QUENTE
IP FRIO
IPQ-D
IPQ-E
dados
IPF-A
IPF-C
dados
PROXY
Rede No Protegida
IP quente
IPQ-D
IPQ-E
dados
Rede Interna
IP frio
servidor
3
IPQ-E
ROUTER
IPF-D
Internet
1 IP quente IPF-A
IPF-A
IPF-C
dados
Endereo
DADOS
TCP, UDP
transporte
pacote
IP
quadro
conectada atravs de Proxy, os servios disponibilizados pelos usurios so limitados aos servios que o Proxy capaz de compreender.
PROXY FTP
IP FRIO
IP QUENTE
INTRANET
INTERNET
Banco de Dados
PROXY
4a.Gerao e subsequentes
Os firewalls de estado foram introduzidos
originalmente em 1991 pela empresa DEC com o produto SEAL, porm, no foi at 1994, com os israelenses da Checkpoint, que a tecnologia ganharia maturidade suficiente. O produto Firewall-1 utilizava a tecnologia patenteada chamada de Stateful inspection
trfego de dados baseado nas caractersticas de cada aplicao, nas informaes associadas a todas as camadas do modelo OSI (e no apenas na camada de rede ou de aplicao) e no estado das conexes e sesses ativas, ou seja, tem capacidade para identificar o protocolo dos pacotes transitados e "prever" as respostas legtimas. Na verdade, o firewall guardava o estado de todas as ltimas transaes efetuadas e inspecionava o trfego para evitar pacotes ilegtimos
do Stateful Inspection com as tcnicas dos dispositivos IPS (Intrusion Prevention System) ; Deteco e Preveno de Intruso para fins de identificar o abuso do protocolo TCP/IP mesmo em conexes aparentemente legtimas; Obs: A partir do incio dos anos 2000, a tecnologia de Firewall foi aperfeioada para ser aplicada tambm em estaes de trabalho e computadores domsticos (o chamado Firewall Pessoal"), alm do surgimento de solues de firewall dedicado a servidores e aplicaes especficas (como servidores web e banco de dados);
inspecionados
IP Header: Source Address, Dest. Address, TTL, Checksum TCP Header: Sequence Number Source Port, Destination Port, Checksum Application Layer Content: GET www.contoso.com/partners/default.htm
Internet
Web Server
http://www.dominio.com/scripts/..%5c../winnt/system32/ cmd.exe?/c+dir+c:\
Firewall SPI
Source 212.56.32.49 Destination 65.26.42.17 Dest Port 80 Sequence 2821 IP Option none
A inspeo Stateful limitada apenas a Version | podem Source portas que Service | Total Length UDP Port ID | bloqueadas Flags | Fragment TTL | Protocol | IP Checksum Sem inspeoIPde Source Address Destination dados! Destination IP Address UDP Port
IP Options
INSPECT
Syn state
SYN
Firewall Tpico
Traffic Path 60
60
Firewall UTM
UTM Signatures
ATTACK-RESPONSES 14BACKDOOR 58BAD-TRAFFIC 15DDOS 33DNS 19DOS 18EXPLOIT >35FINGER 13FTP 50ICMP 115Instant Version Service Total Length Messenger 25IMAP 16INFO 7Miscellaneous44MS-SQL 24MSID Flags Fragment SQL/SMB 19MULTIMEDIA 6MYSQL 2NETBIOS Protocol IP Checksum 25NNTP 2ORACLE TTL 25P2P 51POLICY 21POP2 4POP3 18RPC 124RSERVICES Address Source IP 13SCAN 25SMTP 23SNMP 17TELNET Destination IP Address 14TFTP 9VIRUS 3WEB-ATTACKS 47WEB-CGI 312WEB-CLIENT
INSPECT INSPECT
| |
| |
IP Options
UTMFirewall
Security Prod.
Dynamic Management / Reporting
Reliable
UTM Inspection inspects all traffic moving through a device 98% more inspection
Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address
Memory
min
min
# of Users
Traffic
62
Firewall UTM
UTM Platform Approach Real Time Scanning Engine
Inspecting
Real-time Scanning
max
Network Use
max
Protection for| Total Length ALL Version | Service Source Traffic ID | Flags | Fragment and ALL Users UDP Port
TTL Protocol | IP Checksum Source IP Address Destination IP Address IP Options
min
min
# of Users
Unified Threat Management Firewall
Traffic
Security Integration
Productivity Control
Network Resiliency
63
63
aplicao: Nimda, Slammer... Proporciona a habilidade para definio de polticas de segurana, a nvel de aplicao, em um nvel maior de granularidade Melhor proteo para aplicaes Microsoft
Internet
Incoming Traffic
Web Server
Segurana de Contedo
Alm das informaes de portas, as informaes de contedo tambm
Mtodos de acesso (GET, POST), URLs ("*.sk"), etc TAGS em HTML com referncias a Applets em Java ou Objetos Active X. Dowload de certos tipos MIME. FTP: Permite Filtrar Comandos especficos (PUT, GET), Nomes de Arquivo Pode disparar antivirus para verificao de arquivos. SMTP: Permite criar regras de Filtragem baseadas Nos campos FROM e TO Tipo MIME Etc.
291525
67
Firewall
Application TCP Transport IP Network Datalink Physical
Rede Interna
Application
TCP Transport
IP Network Datalink Physical
Gateway de Aplicao
Circuit Gateway (relay) Packet Filter
ndice
1. 2.
3.
5.
Objetivo
Objetivo
Superviso de toda a comunicao de entrada e sada Controle
do uso dos recursos protegidos por mquinas exteriores do uso da rede exterior pelas mquinas do permetro protegido contra ataques externos ao permetro protegido contra ataques iniciados no interior lanados para o exterior
Defesa
Objetivo
Os firewalls so sistemas que tm como objetivo
estabelecer regras e filtros de trfego entre duas redes. Os firewalls so utilizados como a primeira linha de defesa contra ameaas externas a uma rede. Por ser a primeira linha de defesa, os sistemas de firewall devem ser cuidadosamente instalados e geridos. No caso de firewalls instalados em servidores (normalmente Windows NT, 2k, 2k3 e Unix), o sistema operativo deve tambm ser cuidadosamente configurado para o nvel mximo de proteco.
rede ou seu computador seja acessado sem autorizao. Assim, possvel evitar que informaes sejam capturadas ou que sistemas tenham seu funcionamento prejudicado pela ao de hackers; O firewall um grande aliado no combate a vrus e cavalos-de-tria, uma vez que capaz de bloquear portas que eventualmente sejam usadas pelas "pragas digitais" ou ento bloquear acesso a programas no autorizados; Em redes corporativas, possvel evitar que os usurios acessem servios ou sistemas indevidos, alm de ter o controle sobre as aes realizadas na rede, sendo possvel at mesmo descobrir quais usurios as efetuaram
vrus, autenticao forte ...) Coletar informaes sobre os eventos relacionados segurana
rede Impedir ataques de pessoas internas Controlar trfego de informaes Por outros meios magnticos Por modem Por fax ou telefone ... Impedir ataques via acesso legtimo aos servios internos
acesso rede sem passar pelo firewall; Efetivo contra ataques externos, mas internamente no. A maioria dos incidentes causada por pessoal interno; Bugs, problemas de m configurao ou falha de equipamento, podem deixar o firewall suspenso por algum tempo; Colises da rede interna e externa podem evitar o acesso ao firewall por um instante. E justamente nesse instante um intruso poder invadir a rede interna.
Limitaes de Firewalls
So um dos mecanismos de segurana e no o
mecanismo de segurana. Note-se que um firewall totalmente ineficaz contra as ameaas internas ao permetro protegido Podem tambm constituir um ponto de degradao do desempenho da rede, uma vez que as suas funcionalidades so implementadas por software.
Internet
Intrusions
Inappropriate Use
82
S h uma rede imune a ataques externos: a que no tem conexo com o mundo exterior. Hoje em dia, com a rpida propagao das informaes pela Internet, pessoas, podem burlar a segurana de sistemas operacionais, atravs de ferramentas feitas por pessoas competentes, e geralmente sem boas intenes.
83
83
ndice
1. 2.
3.
4.
Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall
OK para Passar?
N
S OK para Bloquear N
Bloquear Pacote
ltima Regra?
ports):
1024
TCP ou UDP
.
49151 49152 . 65535
servidores proprietrios.
Portas Dinmicas ou Privadas:
servios no padronizados.
Authority) Acessveis apenas por processos de sistema (que tenham privilgios do tipo root). Desina servicos padronizados para Internet: FTP (21), HTTP (80), DNS (53), etc. Range: 0 a 1023 Geralmente, a porta mapeada a um servio em ambos os protocolos (TCP e UDP), mesmo que usualmente s seja utilizado um deles.
Authority) Servio oferecido para convenincia da comunidade Acessiveis por processos de usurio Usadas geralmente para designar servios proprietrios: Corba Management Agente (1050), Microsoft SQL Server (1433), Oracle Server (1525), etc. Range: 1024 a 49151.
Porta 21 Porta 23
programa servidor de transferncia de arquivos programa servidor de terminal remoto programa servidor de correio eletrnico programa servidor de hipertexto e outros servios WWW programa servidor de notcias
SMTP
Porta 65535
Porta 25
portas livres
IRC
Porta 194
ndice
1. 2.
3.
4. 5. 7.
Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall Algoritmo do Firewall e Portas TCP/IP
Regras de Portas
Para bloquear ligaes de ou para um servidor web especfico ou rede, a filtragem pode ser usada aplicada de vrias formas, incluindo o bloquear de ligaes a portas especficas.
Implementao Fsica
No software do Roteador: screening routers
No software de uma estao dedicada (um PC com duas placas de rede).
ROTEADOR
REDE INTERNA
FIREWALL PERSONAL FIREWALL
REDE EXTERNA
ROTEADOR
REDE INTERNA
FIREWALL
REDE EXTERNA
94
Servidor Proxy
Bastion Host
96
96
1
Autenticado
97
1
98
Packet Filters(continuaao)
99
Packet Filters(continuaao)
100
de news), mas apenas provenientes do endereo origem 129.6.48.254 para o endereo destino 123.4.5.9 e porta 119. A 5 regra permite o trfego que use UDP em vez de TCP, de qualquer endereo origem para qualquer endereo destino no site. A 6 regra nega todos os outros pacotes. Se esta regra no estiver presente, o router pode no negar todos os pacotes subsequentes.
Filtragem de Pacotes
A filtragem de pacotes feita com base nas informaes
IP
IP
IP
PORTA PORTA
IP
PORTA
PORTA
IP
PORTA
PACOTE
IP
PORTA
IPorigem
IPdestino
Portaorigem Portadestino
REGRAS:
Firewalls
IP A
IP C
80
80
Regra 1 2 3
IP Acao B
Permit Permit negar
Senti. Out in *
IP orig. IP A IP D *
IP IP D
>1024
dest. IP C IP B *
Port. Orig
Port Dest.
aceita r
TCP
externo
interno
>1023
80
rejeita r
Interpretao:
Hosts Internos podem acessar pginas web Hosts externos podem acessar servidores de web interno.
Direo
Exemplo
Ao permitir permitir permitir permitir negar Direo OUT IN IN OUT * Protocolo tcp tcp tcp tcp * IP Origem interno * * interno * IP Destino * interno interno * * Porta Origem > 1023 > 1023 > 1023 > 1023 * Porta Destino 23 23 80 80 *
Interpretao:
1 Host Internos (OUT dentro para fora) usando o procotolo TCP podem acessar (permitir) qualquer servidor (*) Telnet (23). 2 Host Externos (IN fora para dentro) usando o procolo TCP podem acessar (permitir) qualquer servidor interno (*) do servio Telnet (23). 3 - Host Externos (IN) usando o procolo TCP podem acessar (permitir) o servidor interno Web (80) 4 Host Internos (OUT) usando o procotolo TCP podem acessar (permitir) qualquer servidor (*) Web (80). 5 Proibir (negar) tudo (*).
Porta Origem > 1023 > 1023 > 1023 > 1023 *
Porta Destino 23 23 80 80 *
Exercicio 01:
Ao Direo Protocolo IP Origem IP Destino Porta Origem Porta Destino
Hosts Internos podem acessar servidores de telnet externos. Host Externos podem acessar servidores telnet Internos
Ao permitir permitir negar Direo OUT IN * Protocolo tcp tcp * IP Origem interno * * IP Destino * interno * Porta Origem > 1023 > 1023 * Porta Destino 23 23 *
110
Exerccio 02
- Hosts Internos podem acessar servidores de telnet externos e hosts externos acessar meu servidor interno 10.10.10.10. Hosts externos podem acessar meu servidor 200.145.22.33 de News
Ao Permit Permit Permiti negar Direo out In in * Protocolo Tcp TCP Tcp * IP Origem Interno * * * IP Destino * 10.10.10.10 200.145.22.33 * Porta Origem >1023 >1023 > 1023 * Porta Destino 23 23 119 *
111
Exerccio 03
- Hosts Internos podem acessar servidores de telnet internos (10.10.10.10) e hosts externos podem acessar meu servidor de telnet (10.10.10.10). Hosts externos podem acessar servidores de web internos (10.10.10.9) e os hosts internos podem acessar servidores externos. Ao Direo Protocolo IP Origem IP Destino Porta Origem Porta Destino
Permitir permitir permitir negar in in out * Tcp tcp tcp * * * interno * 10.10.10.10 10.10.10.9 * * >1023 > 1023 > 1023 * 23 80 80 *
112
1
INTERNET
23 200.234.56.7
Rede Interna
Ao permitir negar
Dir OUT * Protocolo tcp * IP Origem 200.17.98.0/24 * IP Destino 200.234.56.7
Porta Origem Porta Destino
23
> 1023
*
Servidor
Ao permitir negar Dir IN * Protocolo tcp * IP Origem 200.17.98.0/24 * IP Destino 200.234.56.7 *
Porta Porta Destino Origem
23 *
> 1023
*
113
Exerccio 05
- O servidor de ssh (10.20.2.4) s poder ser acessado pelos clientes internos da rede; - Devido a um problema de vrus a toda a classe B da rede que tem o host 200.242.4.5 ser proibida de fazer qualquer solicitao. - O Cliente 10.20.2.70 pode acessar o servios de banco de dados postgres (TCP - 5432) da maquina 10.20.2.9 e oracle (TCP 1521) do host 10.20.2.8. Hosts externos podem acessar servidores de web cujo IP 200.3.4.6 e o servidor de email que responde pelo endereo 200.3.4.5 (externamente) e 10.20.2.1 (internamente) e os hosts internos podem acessar servidores web externos. Apenas a mquina 10.20.2.50 no pode acessar nenhum servio da internet.
Ao Negar negar Direo in out In in out * Protocolo * * tcp tcp tcp * IP Origem 200.242.0.0/16 10.10.2.50 * * 10.20.2.0/24 * IP Destino * * 200.3.4.6 200.3.4.5 * * Porta Origem >1023 >1023 > 1023 > 1023 >1023 * Porta Destino * * 80 25/110 80 *
114
Exerccio06:
Servidor Web, FTP e Email
PROVEDOR
INTERNET BACKBONES
PROVEDOR
Firewall 01
Firewall 02
200.1.2.3
200.7.8.9
Sabendo que cada rede possue uma classe C, faa as seguintes regras: 1 Os servios de Web e FTP da matriz podero ser acessado por qualquer mquina na internet, entretanto o servio de Email s poder ser acessado pelas duas filiais; 2 Os bancos de dados ficam restrito s para acesso interno da empresa, ou seja, sua respectiva rede interna, matriz e filias; 3 As 3 redes podem acessar quaisquer servicos pginas Web e SSH externos.
Firewall 01
Port Origem > 1023 > 1023 > 1023 > 1023 >1023 *
Tcp
*
Firewall 02
Ao Permitir Permitir
Porta Origem > 1023 > 1023 > 1023 > 1023 *
Permitir
Permitir negar Firewall 03
Porta Origem > 1023 > 1023 > 1023 > 1023 *
116
1 Qualquer mquina da internet pode acessar o servidor Web da empresa. O Servidor de SSH (10.1.2.2) que tambm encontra-se na filial 3, s pode ser acessado pela sua prpria rede interna, matriz e demais filiais; 2 Na filial 2 existe um enlace de rdio com o almoxarifado, onde o mesmo precisa acessar a parte de impresso TCP/IP (TCP 515); 3 Na Matriz existe 2 mquinas 10.3.4.54 e 10.3.4.55 apenas (s esse) poder acessar o servidor de FTP da Filial 1; 4 O Servidor de Email s poder ser acessado pela matriz e por uma mquina que encontra-se no almoxarifado cujo IP 10.6.7.67 5 A matriz e a filia 3 dessa empresa podem acessar os servidores de News cujos endereo so 200.5.6.7 e 200.9.8.7; 6 Em cada rede possui uma mquina com final host 44 o qual responsvel em fazer terminal service (TCP 3389) em sua prpria rede e em qualquer servidor ou estao de trabalho da matriz ou filial; 7 O servidor de aplicao Oracle e de uso restrito da empresa; 8 O servidor de pgina faz replicao dos dados para o servidor 10.1.2.2 10 As estaes podem acessar pginas Web na porta 80 normalmente, mais no podem acessar nas portas 8080; 11 O notebook (10.3.4.20), nica mquina alm da rede interna da filial 3 a acessar o servidor de impresso.
Firewall 01 Matriz Protocol o Tcp Tcp tcp Tcp Tcp Tcp Tcp Tcp Tcp Tcp *
Ao Permitir Negar Permitir Permitir Permitir permitir Permitir Permitir permitir perm negar
IP Origem 10.3.4.54/32 10.3.4.55/32 10.3.4.54/32 10.3.4.55/32 10.3.4.0/24 10.3.4.0/24 10.3.4.0/24 10.9.8.44/32 10.6.7.44/32 10.1.2.44/32 10.3.4.44/32 10.9.8.0/24 10.6.70/24 10.1.2.0/24 10.3.4.0/24 10.3.4.20 *
IP Destino 10.9.8.11 * 10.1.2.2 10.9.8.7 200.5.6.7 200.7.8.9 10.3.4.0/24 10.9.8.0/24 10.6.70/24 10.1.2.0/24 10.3.4.5 * 10.6.7.2 *
Port Origem Porta Destino > 1023 20/21 > 1023 * > 1023 22 > 1023 25/110 >1023 119 >1023 >1023 > 1023 > 1023 >1023 * 3389 3389 1521 80 515 *
Firewall 02 Filial 01 Protocol o tcp tcp tcp Tcp tcp tcp Tcp *
IP Origem 10.9.8.0/24 10.3.4.54/32 10.3.4.55/32 10.3.4.0/24 10.6.7.67 10.3.4.44/32 10.6.7.44/32 10.1.2.44/32 10.9.8.44/32 10.9.8.0/24 10.9.8.0/24 *
Porta Origem Porta Destino > 1023 22 > 1023 20/21 > 1023 25/110 >1023 >1023 > 1023 > 1023 * 3389 3389 1521 80 118 *
Firewall 03 Filial 2 Protocol o tcp Tcp Tcp Tcp Tcp Tcp tcp Tcp tcp *
Ao Permitir Permitir Permitir Permitir permitir Permitir Permitir permitir Permitir negar
IP Origem 10.6.7.0/24 10.6.7.67 200.4.5.0 /24 200.7.8.0/24 10.6.7.0/24 10.3.4.44/32 10.9.8.44/32 10.1.2.44/32 10.6.7.44/32 10.6.7.0/24 10.6.7.0/24 10.3.4.20 *
IP Destino * 10.9.8.7 200.1.2.3 200.5.6.7 200.7.8.9 10.6.7.0/24 10.1.2.0/24 10.9.8.0/24 10.1.2.0/24 10.3.4.5 * 10.6.7.2 *
Port Origem Porta Destino > 1023 22 > 1023 25/110 > 1023 110/25 >1023 119 >1023 >1023 > 1023 > 1023 >1023 * 3389 3389 1521 80 515 *
IP Origem * 10.3.4.0/24 10.9.8.0 /24 10.6.7.0/24 10.3.4.44/32 10.9.8.44/32 10.6.7.44/32 10.1.2.44/32 10.1.2.0/24 10.1.2.0/24 *
Porta Origem Porta Destino > 1023 80 > 1023 >1023 >1023 > 1023 > 1023 * 22 3389 3389 1521 80 *
120
O que IPTABLES ?
endereo/porta de origem/destino do pacote, prioridade, etc. Ele funciona atravs da comparao de regras para saber se um pacote tem ou no permisso para passar. Em firewalls mais restritivos, o pacote bloqueado e registrado para que o administrador do sistema tenha conhecimento sobre o que est acontecendo em seu sistema. rede, fazer NAT (masquerading, source nat, destination nat), redirecionamento de pacotes, marcao de pacotes, modificar a prioridade de pacotes que chegam/saem do seu sistema, contagem de bytes, dividir trfego entre mquinas, criar protees anti-spoofing, contra syn flood, DoS, etc. O trfego vindo de mquinas desconhecidas da rede pode tambm ser bloqueado/registrado atravs do uso de simples regras. As possibilidades oferecidas pelos recursos de filtragem iptables como todas as ferramentas UNIX maduras dependem de sua imaginao, pois ele garante uma grande flexibilidade na manipulao das regras de acesso ao sistema, precisando apenas conhecer quais interfaces o sistema possui, o que deseja bloquear, o que tem acesso garantido, quais servios devem estar acessveis para cada rede, e iniciar a construo de seu firewall.
Quando Surgiu ?
No kernel do Linux 2.4, foi introduzido o firewall iptables
(tambm chamado de netfilter) que substitui o ipchains dos kernels da srie 2.2. Este novo firewall tem como vantagem ser muito estvel (assim como o ipchains e ipfwadm), confivel, permitir muita flexibilidade na programao de regras pelo administrador do sistema, mais opes disponveis ao administrador para controle de trfego, controle independente do trfego da rede local/entre redes/interfaces devido a nova organizao das etapas de roteamento de pacotes.
INPUT
Pacotes cujo destino final a prpria mquina firewall. Pacotes que saem da mquina firewall. Pacote que atravessa a mquina firewall, cujo destino outra mquina. 125
OUTPUT FORWARD
125
1
127
127
1
Filtrando pacotes com o Iptables A filtragem ocorre na comparao entre os dados do cabealho do pacote analisado e as regras predefinidas.
128
128
1
Regras
As regras de firewall so elementos que servem para especificar o que fazer com os pacotes.
-t -p
Prefixo que define a tabela da qual a regra ser associada. Prefixo que define o tipo de protocolo do pacote.
-s
-d -j
Prefixo que define o endereo IP de origem. Prefixo que define o endereo IP de destino. Prefixo que define o tipo de ao a ser tomada.
129
129
1
Sintaxe
iptables ( comando ) ( parmetro ) ( extenses )
Ex: iptables A INPUT -p TCP s 192.168.7.106 j DROP
Adicionando regras ( A)
iptables -t filter -A INPUT/OUTPUT/FORWARD -d IP -j DROP/ACCEPT Ex: iptables -A FORWARD -s 10.0.0.1 -j DROP
Deletar regras ( D)
iptables -t filter -D INPUT/OUTPUT/FORWARD -d IP -j DROP/ACCEPT Ex: iptables -D FORWARD -s 10.0.0.1 -j DROP
Listar ( L)
Ex: iptables L
Sintaxe
Comandos bsicos do iptables: -A - Permite atualizar regras j existentes na estrutura do firewall e acrescenta uma regra s existncias no sistema. -I - Insere nova regra dentro das existentes do firewall. -D - Exclui uma regra especfica no firewall. -P - Comando que define regra padro do firewall. -L - Comando para listar todas as regras existentes no firewall. -F - Este aqui zera todas as regras do firewall, podemos chamar de flush. -h - Ajuda do comando. -R - Substitui uma regra do firewall. -C - Verifica as regras bsicas do firewall. -N - Cria uma nova regra com um nome especfico. -X - Exclui uma regra por seu nome.
Sintaxe
Parmetros padro no iptables:
-p (protocolo) - define qual protocolo TCP/IP. (TCP,UDP e ICMP).
D esse comando tem dois argumentos endereo/mscara e porta. -i (interface) - define o nome da interface da rede onde trafegaro os pacotes de entrada e sada do firewall. Utilizado em mascaramento com NAT -j (ir para) - redireciona uma ao desde que as regras sejam similares. -f (fragmentos) - trata datagramas fragmentados.
IP FORWARD
Consideraes iniciais
O IP FORWARD um tipo de roteamento. estabelecido quando colocamos uma mquina entre dois ou mais segmentos de rede, permitindo a livre passagem de pacotes entre estes sempre que for necessrio. importante ressaltar que o roteamento s ir funcionar quando for feito entre REDES DIFERENTES. No se pode colocar um roteador entre dois segmentos de rede iguais. Esse procedimentono serve apenas para estabelecer a comutao de segmentos. Ele tambm til para diminuir o trfego na rede como um todo, pois s deixa o pacote mudar de segmento se isso for realmente necessrio.
IP FORWARD
Para fazer o IP FORWARD, o micro roteador dever possuir uma placa
de rede com endereo IP pertencente a cada segmento. Tambm deveremos informar, em cada mquina de cada seguimento, quem ser o micro responsvel pelo roteamento. O nome tcnico desse micro gateway.
IP FORWARD
No caso do esquema anterior, temos as seguintes situaes: Gateway para 10.0.0.1, 10.0.0.2 e 10.0.0.3: a mquina 10.0.0.10 Gateway para 172.20.0.1, 172.20.0.2 e 172.20.0.3: a mquina
172.20.0.10 importante que, nos dois lados, todos os micros saibam quem o seu gateway pois, do contrrio, os hosts no sabero para onde enviar os pacotes destinados rede oposta. Exemplo: A mquina 10.0.0.1 sabe que 10.0.0.10 o seu gateway. A mquina 172.20.0.1 no sabe quem o seu gateway. Um ping de 10.0.0.1 para 172.20.0.1 sair de 10.0.0.1, passar por 10.0.0.10, seguir por 172.20.0.10 e chegar em 172.20.0.1. Como 172.20.0.1 no sabe quem o seu gateway para a rede 10.0.0.0, no conseguir responder. O ping vai morrer por timeout. Houve o icmp echo request mas ser impossvel gerar o icmp echo reply.
Inicio de Scripts
### Limpa as regras existentes. export IPTABLES="/usr/sbin/iptables" export iptables="/usr/sbin/iptables" export LAN="10.10.2.0/24" /usr/sbin/iptables -F /usr/sbin/iptables -X /usr/sbin/iptables -t nat -X /usr/sbin/iptables -t nat -F
# Roteamento entre as placas echo 1 > /proc/sys/net/ipv4/ip_forward ### Muda a Politica da Chain Forward. $iptables -P FORWARD DROP $iptables -P INPUT ACCEPT $iptables -P OUTPUT ACCEPT ### Permite o trafego de conexoes ja estabelecidas. $iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT $iptables -A FORWARD -m state --state RELATED -j ACCEPT
138
Exemplo 01:
iptables -P INPUT DROP iptables -A INPUT -s 10.0.0.1 -j DROP iptables -A INPUT -s 10.0.0.2 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 172.20.0.0/16 -j ACCEPT
Exemplo 02
iptables -P INPUT ACCEPT iptables -A INPUT -s 10.0.0.1 -j DROP iptables -A INPUT -s 10.0.0.2 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 172.20.0.0/16 -j ACCEPT
Liberar acesso da rede interna cujo host 10.20.3.4 e classe B para o servidor My SQL, cujo IP 200.91.34.67
iptables -A OUTPUT -p tcp s 10.20.0.0/16 --dport 3006 -d 200.91.34.67 -j ACCEPT
Liberar a Rede interna para acessar qualquer servidor Web. A minha rede interna poder acessar o servidor 200.7.8.9 via terminal service. A nica exceo ser o host 10.2.3.4 no poder acessar nenhum servio
iptables -A OUTPUT -p tcp s 10.2.3.4 -j DROP iptables -A OUTPUT -p tcp s 10.2.3.0/24 --dport 3389 d 200.7.8.9 -j ACCEPT iptables A OUTPUT -p tcp s 10.2.3.0/24 --dport 80 -j ACCEPT
143
Liberar Acesso acesso remoto via terminal service para uma rede classe B 200.242, onde a mesma poder acessar meu servidor cujo IP 10.72.1.1
iptables -A INPUT -p tcp -s 200.242.0.0/16 --dport 3389 -d 10.72.1.1 -j ACCEPT
Liberar tudo que for acesso cliente para uma estao cujo IP 10.89.2.43 e garantir que esse IP no posso ser acesso privilegiado deste IP no possa ser usado por outro host
iptables A OUTPUT -p tcp -d 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT iptables A OUTPUT -p udp -s 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT iptables A OUTPUT -p udp -d 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT arp -s 10.89.2.43 0013a98d9d79
144
145
Kerio
Tela do Krio
1. Deny network traffic on all IP ports. 2. Except, allow network traffic on port 80 (HTTP). 3. Except, from all HTTP traffic, deny HTTP video content. 4. Except, allow FTP to everyone. 5. Except, allow SMTP and POP3 to everyone. ...
Filtros de Pacotes
149
processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido. Dependendo da velocidade da linha de transmisso, esse processamento pode ou no causar uma degradao do desempenho da rede. Conexo Pacotes/s (20 bytes) 350 12500 62500 625000 6250000 Tempo disponvel 2.86 ms 80 s 16 s 1.6 s 0.16 s Ciclos CPU 100 MHz 286000 8000 1600 160 16
150
Filtro de Pacotes
Fragmentos:
151
Squid O squid uma ferramenta gratuita e funciona em cdigo aberto para Unix e Linux muito utilizado atualmente na internet, implementando vrios servios como, por exemplo: As funes de proxy cache para web
153
153
1
As regras da lista de controle de acesso tm uma sintaxe bastante simples como podemos ver abaixo:
154
1
Sintaxe
Criao de ACL de conteudo
acl <nome da acl> url_regex i <caminho> EX: acl sexo1 url_regex -i "/etc/squid/control/sites-sexo1 acl sexo1 url_regex sex sexo playboy ... i
Outras Regras de Contedo
acl msn dstdomain loginnet.passport.com acl msnmessenger url_regex -i gateway.dll acl MSNapp req_mime_type -i ^application/x-msn-messenger$ acl webmsn dstdomain webmessenger.msn.com acl orkutregra url_regex orkut orkutando toperkut I acl javascript rep_mime_type -i ^application/x-javascript$
155
Sintaxe
Criao de ACL Usurios
Acl <nome acl> scr <ip ou nome de usurio caso possua domnio)
Ex:acl
allow msnmessenger usuarios http_access allow MSNapp usuarios http_access allow webmsn usuarios http_access deny entrentimento usuarios http_access deny sexo1 usuarios http_access deny sexo2 usuarios http_access allow all
157
Windows
158
ndice
1. 2.
3.
4. 5. 6. 8.
Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall Algoritmo do Firewall e Portas TCP/IP Filtro de pacotes e Regras de Portas
7. NAT
DMZ 9. IDS 10. Monitorao
163
165
166
166
1
registrados.
Seu funcionamento definido pela RFC 1631
EM TODOS OS CASOS, OS CLIENTES SO CONFIGURADOS PARA UTILIZAR O DISPOSITIVO DE NAT COMO ROTEADOR.
Tradues:
One-TO-Many
Traduzir vrios IPs para um nico IP Funcionamento similar ao Proxy (mais usual) Traduzir um grupo de IPs para outro grupo de IPs
Many-TO-Many
registrados.
Seu funcionamento definido pela RFC 1631
EM TODOS OS CASOS, OS CLIENTES SO CONFIGURADOS PARA UTILIZAR O DISPOSITIVO DE NAT COMO ROTEADOR.
Tradues:
One-TO-Many
Traduzir vrios IPs para um nico IP Funcionamento similar ao Proxy (mais usual) Traduzir um grupo de IPs para outro grupo de IPs
Many-TO-Many
200.17.98.24 IP_INTERNET
APLICAO
IP_INTERNET
192.168.0.? APLICAO
IP_INTERNET
200.17.98.24
APLICAO
192.168.0.10
INTERNET
REDE INTERNA
192.168.0.254
200.17.98.24
Exemplo de NAT
A estao com IP 192.168.1.13 faz uma requisio,
por exemplo, para um endereo externo. O pacote sai com o IP da estao e corre em direo ao intermediador entre ambiente interno e externo, o gateway. O gateway, atravs do protocolo NAT mascara o IP da estao com seu IP (200.158.112.126 - que vlido na internet) assim fazendo com que o pacote seja entregue no destino solicitado pela estao. No retorno do pacote, ele parte do endereo externo, chega a nossa rede no servidor NAT (200.158.112.126) e l volta ater o IP da estao assim chegando estao (192.168.1.13).
LIMITAES DO NAT
NAT permite apenas que clientes
LIMITAES DO NAT
O NAT no funcionar em protocolos onde
conexes ativas.
Tabelas grandes levam a baixo desempenho.
IP FRIO
IP QUENTE
IP QUENTE
INTERNET
IP FRIO
roteador interno
IP FRIO
GATEWAY DEFAULT
servidor
IP FRIO
IP FRIO
IP FRIO
IP FRIO
IP QUENTE
INTERNET IP FRIO
roteador interno
IP FRIO
IP FRIO IP QUENTE
IP QUENTE
GATEWAY DEFAULT
IP FRIO
IP FRIO
IP FRIO
IP FRIO
Hosts Categoria 2
Exemplo de uma rede Intranet interligada a Internet atravs de um servidor proxy. Nessa rede, os hosts esto na categoria 2.
192.168.0.4 192.168.0.1 192.168.0.2 192.168.0.3
servidor proxy
roteador
200.17.98.1 200.17.98.2
192.168.1.5
servidor
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.4
Utilizao
Linux
# Acesso na porta 80 para o Filial do Paran Acessar $IPTABLES -t nat -A PREROUTING -p tcp -d 10.10.1.5 --dport 80 -j DNAT --to 10.10.2.1:80 $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 200.64.100.133 --dport 80 -j MASQUERADE # Acesso a Telnet /usr/sbin/iptables -A FORWARD -p tcp --dport 23 -d 10.1.8.1 -j ACCEPT #nat $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 10.1.8.1 --dport 23 -j MASQUERADE $IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 -d 10.1.8.1 --dport 23 -j ACCEPT # Acesso ao notes $iptables -A FORWARD -p tcp --dport 1352 -d 10.0.0.0/8 -j ACCEPT #nat $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 10.1.1.30 --dport 1352 j MASQUERADE $IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 -d 10.1.1.30 --dport 1352 -j ACCEPT
Utilizao
Windows
Utilizao
Windows
Resumo do NAT
Tcnica utilizada para converter endereos IP de mquinas
internas em tempo real Possibilita o acesso Internet a partir de mquinas com endereos IP reservados Permite a existncia de um nmero maior de mquinas internas do que o nmero de endereos IP vlidos Feita de forma transparente
ndice
1. 2.
3.
4. 5. 6. 7.
Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall Algoritmo do Firewall e Portas TCP/IP Filtro de pacotes e Regras de Portas NAT
8. DMZ
IDS 10. Monitorao
9.
180
DMZ
O que ?
a sigla para de DeMilitarized Zone ou "zona desmilitarizada",
em portugus. Tambm conhecida como Rede de Permetro, a DMZ uma pequena rede situada entre uma rede confivel e uma no confivel, geralmente entre a rede local e a Internet.
acesso externo (tais como servidores HTTP, FTP, de correio eletrnico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes servios por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ no devem conter nenhuma forma de acesso rede local.
Web Server
FTP Server
Mail Gateway
(zona desmilitarizada)
DMZ
Implementao - Windows
ndice
1. 2.
3.
4. 5. 6. 7. 8.
Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall Algoritmo do Firewall e Portas TCP/IP Filtro de pacotes e Regras de Portas NAT DMZ
9. Intruso (IDS)
10. Monitorao
186
9 IDS
Intruso
Conjunto de aes que comprometem a integridade,
sistemas Usurios hostis usando brechas nos sistemas para compromete-los Usurios hostis impersonificando usurios confiveis para burlar os sistemas
indevidos Combater ataques e invases Responder automaticamente aos comportamentos suspeitos Elevar o nvel de segurana
Classificao de uma ao como uma possvel intruso, quando se trata de uma ao legtima
Falso negativo Quando ocorre uma intruso e a ferramenta permite que ela passe como se fosse uma ao legtima
Subverso Quando o intruso modifica a operao da ferramenta de IDS para forar a ocorrncia de falso negativo
www E-mail
OUTROS
Invasores
Usurios legtimos
1. FIREWALL
Cria um filtro, permitindo acessos somente aos servios desejados. Analisa os acessos aos servios desejados, permitindo os legtimos e bloqueando os ilegtimos. WWW E-MAIL WWW WWW E-MAIL E-MAIL
2. IDS
Telnet
WINS
LPR
NFS
RPC
www
normais Resposta a incidentes Contingncia e continuidade Tratamento de excees para o estabelecimento do equilbrio entre falsos positivos e falsos negativos
Software que monitora o Log File do sistema ou das aplicaes, disparando um alarme quando um usurio acessa dados, arquivos ou programas no autorizados Compara os requests com as regras de sua tabela Pode ser programado para rejeitar determinados acessos Network based Software que monitora o trfego da rede e responde com um alarme quando identifica um padro de trfego suspeito, indicando que invasores esto acessando a rede Monitora todo o trfego de um segmento de rede Compara os requests com regras de sua tabela Pode opcionalmente avisar o firewall para cortar a conexo Hbridas
dispositivo tenta analisar todos os dados que passam pela rede, aplicando um conjunto de regras pr-definidos ou identificando assinaturas nos dados capturados
INTERNET
Roteador Firewall
REDE INTERNA
Sensor
MONITORAMENTO
Vantagens
Portabilidade
INTERNET
Router
FIREWALL
Hibrid IDS
Integrao baseada em Network Based e Host Based
INTERNET
REDE INTERNA
Router
FIREWALL
SENSOR
MONITORAMENTO
Hibrid IDS
Limitaes
Carga adicional nos servidores Escalabilidade (problemas em rede de alta velocidade) Reativo no que tange a atualizao de assinaturas de novos
ataques. Suscetvel a tcnicas de hacking mais avanadas Riscos fora do contexto de atuao (Engenharia Social) Vantagens Cobertura mais ampla no que tange a tentativas de intruso
Scanner de vulnerabilidades
Pode identificar:
Uso de senhas inseguras Vulnerabilidades referentes a no aplicao de correes em sistemas operacionais Deficincias em protocolos de comunicao Deficincias na configurao dos sistemas
IDS x Scanners
SISTEMA Host based Busca por vulnerabilidades no sistema operacional: poltica de senhas, privilgios errados, etc SCANNER Faz uma varredura na rede em busca de falhas nos dispositivos Analisa todos os pacotes que trafegam pela rede em busca de um possvel ataque REDE Network based
Atua como sentinela nos servidores analisando log, acessos indevidos, back-door, etc
IDS
ndice
1. 2.
3.
4. 5. 6. 7. 8. 9.
Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall Algoritmo do Firewall e Portas TCP/IP Filtro de pacotes e Regras de Portas NAT DMZ Intruso (IDS e IPS)
204
10. Monitorao
10 Monitoramento
205
Onde monitorar?
Internet
Web Server
FTP Server
Monitora equipamento
Mail Gateway
DMZ
(zona desmilitarizada)
Monitoramento e Registro
Anlise Diria
Acesso a download
Sites no autorizados
Windows - Conexo
Windows - MRTG
Exemplo de invaso
Exemplo de invaso
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
PC Flank's tests
223
Fim da Ementa.
Dvidas
Reflexo:
Os computadores so incrivelmente rpidos, precisos e burros; os homens so incrivelmente lentos, imprecisos e brilhantes; juntos, seu poder ultrapassa os limites da Imaginao Albert Einstein 224
224