A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Firewalls IDS Definição Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes. Ponto.

Apresentações semelhantes


Apresentação em tema: "Firewalls IDS Definição Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes. Ponto."— Transcrição da apresentação:

1 Firewalls IDS

2 Definição Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes. Ponto de conexão entre duas redes não confiáveis. Pode ser um hardware, um software ou ambos. Permite que a comunicação seja monitorada e segura.

3 Gateway(s) Filtro Internet rede interna protege o gateway de ataques uma máquina conjunto de máquinas que oferece(m) serviços através de proxy

4 Gateway(s) Filtro Internet rede interna protege o gateway de ataques uma máquina conjunto de máquinas que oferece(m) serviços através de proxy zona desmilitarizada (DMZ) gateway + gateway interno

5 Propriedades Todo tráfego deve passar pelo firewall. Somente o tráfego autorizado pode passar para a rede monitorada. O firewall propriamente dito pode ser considerado imune de invasões. Ele deve garantir a política de segurança. Seu é mais eficiente do que espalhar decisões e tecnologias de segurança. Limita a exposição. Permite rastreamento:. origem das conexões;. quantidade de tráfego no servidor;. tentativa de quebra do sistema.

6 Não oferece proteção contra: Ataques internos maliciosos. Conexões que não passam pelo firewall. Ameaças totalmente novas. Vírus.

7 Exemplo de Estrutura Roteador. PC para controle com sistema operacional adequado. Conjunto de hosts. Obs.: Roteador (do inglês router - encaminhador): dispositivo usado para fazer a comutação de protocolos (comunicação entre diferentes redes de computadores, distantes entre si). Operam na camada 3 do modelo OSI. Seleciona a rota mais apropriada para encaminhar os pacotes recebidos (o melhor caminho disponível na rede para um determinado destino). Host é qualquer máquina ou computador conectado a uma rede.

8 Rede protegida por firewall

9 Tecnologia Estática –permitir qualquer serviço a menos que ele seja expressamente negado. –negar qualquer serviço a menos que ele seja expressamente permitido. Dinâmica –permitir/negar qualquer serviço para quando e por quanto tempo desejar.

10 Firewalls Como funciona

11 Firewalls Rede protegida por firewall

12 Firewalls Rede protegida por firewall

13 Firewalls Funcionalidades de um firewall Atua como uma barreira entre duas ou mais redes Permite bloquear a entrada e/ou a saída de pacotes Possibilita a configuração de logs e alarmes Conversão de endereços de rede IP (NAT) Criptografia e autenticação Administração local e remota Integração com aplicativos de segurança (IDS, anti-virus)

14 Firewalls Conexões de entrada (INPUT) São as que vem de fora com destino direto à rede a ser protegida. Conexões de saída (OUTPUT) São exatamente o inverso, partindo da rede protegida com destino a um host (servidor) remoto. Conexões de redirecionamento (FORWARD) Vem de fora (redes externas ou internas) e entram na rede protegida, porém elas devem ser encaminhadas a outro host. O encaminhamento de pacotes geralmente aparece em redes internas, onde o acesso à web é feito via NAT (Network Address Translation).

15 Firewalls Portas TCP e UDP Tanto os protocolos de rede TCP (o mais comum) e UDP (usado muito em conteúdo streaming, entre outras funções) oferecem uma série de portas lógicas para que os diferentes protocolos de transmissão de dados (HTTP, FTP, POP, etc.) possam operar. São portas TCP mais portas UDP. Cada protocolo de dados usa uma porta específica: HTTP usa a porta 80 TCP, FTP usa as portas 20 (em modo FTP ativo) e 21 TCP (tanto no modo Ativo quanto Passivo), POP usa a porta 110 TCP, e assim por diante.

16 Firewalls Portas TCP e UDP Para que um aplicativo servidor de páginas Web funcione (Apache, IIS, Tomcat, etc.), por exemplo, é necessário configurar o sistema de forma que a porta 80 aceite conexões de entrada; para configurar o Terminal Services do Windows Server, é necessário liberar conexões entrantes na porta 3389 TCP; e assim por diante. Não é possível se conectar em portas fechadas, a não ser que você se aproveite de alguma vulnerabilidade do protocolo TCP/IP.

17 Firewalls Portas abertas, fechadas e filtradas Para que uma tarefa de servidor aceite conexões entrantes, é necessário que a porta correspondente ao serviço esteja aberta (OPEN). Quando ela está fechada (CLOSED), não é permitido conexões de entrada. O modo filtrado (FILTERED, ou STEALTHED ou ainda BLOCKED) não só fecha a porta como impede que um acesso externo consulte a situação dela ou tente realizar conexões. Um bom firewall deve filtrar as portas não usadas, pois ainda que elas estejam fechadas, é possível se aproveitar de alguma vulnerabilidade do protocolo TCP/IP para forçar a entrada. Stealth - cautela

18 Firewalls Escopo Define o campo de atuação de uma determinada regra de firewall. Exemplos: - Liberar apenas uma porta específica à web, enquanto que as demais deverão ser visíveis apenas à rede interna. -Liberar o acesso à porta 23 (telnet) apenas ao IP do administrador.

19 Firewalls Escopo Para implementar essas restrições é necessário definir o escopo para cada uma das regras do firewall. Ele é formado pelo número IP, e pode ser acrescida a máscara de rede, de forma a abrir ou restringir o acesso à todos os hosts daquela faixa de IP. Exemplos de IPs e suas respectivas máscaras são: /16 (o mesmo que / ), /24 (ou / ) e /32 (ou / ). Para liberar/bloquear a porta a todos, geralmente não é necessário especificar o escopo, ou deve- se usar /

20 Firewalls Arquitetura interna de um firewall Filtros de pacotes (Packet filtering) Gateway de aplicação (Application gateway layer) Inspeção completa de estados (Full state inspection)

21 Arquitetura interna de um firewall Filtros de pacotes (Packet filtering) Arquitetura interna de um firewall Filtros de pacotes (Packet filtering) Filtragem baseada em endereços fonte e destino portas fonte e destino protocolo flags tipo da mensagem. Filtragem baseada em:. endereços fonte e destino;. portas fonte e destino;. protocolo;. flags;. tipo da mensagem.

22 Firewalls Arquitetura interna de um firewall Gateway de aplicação (Application gateway layer)

23 Firewalls Arquitetura interna de um firewall Inspeção completa de estado (Full state inspection)

24 Firewalls Arquitetura interna de um firewall Computer Networks - Tanenbaum

25 Firewalls Vantagens x Desvantagens Filtro de pacotesBaixo custo Transparente para aplicação Baixa segurança Sujeito a IP spoofing Filtra somente até a camada 3 Gateway de aplicaçãoBom nível de segurança Verificação na camada de aplicação Baixa performance Pouca escalabilidade Não é transparente Inspeção de estadoBom nível de segurança Verificação em todas as camadas Boa performance Alto custo

26 Firewalls Modelos de implementação Screening router Dual-homed host Screened host Screened subnet

27 Firewalls Modelos de implementação Screening router Essa é a maneira mais simples de se implementar um Firewall, pois o filtro, apesar de ser de difícil elaboração, é rápido de se implementar e seu custo é baixo, entretanto, se as regras do roteador forem quebradas, a rede da empresa ficará totalmente vulnerável. rede interna Internet screening router

28 Firewalls Modelos de implementação Screening router Vantagens: Baixo custo, Alto desempenho Desvantagens: Nível básico de proteção, não permite muita flexibilidade na configuração.

29 Firewalls Modelos de implementação Dual homed host Uma única máquina com duas interfaces de rede entre a Internet e a rede da empresa. Quase sempre, esse Gateway, chamado de Bastion Host conta com um Proxy de circuito para autenticar o acesso da rede da empresa para a internet e filtrar o acesso da Internet contra a rede da empresa.

30 Firewalls Modelos de implementação Dual Homed Host Vantagens: Maior nível de controle Desvantagens: Menor desempenho

31 Internet screening router rede interna bastion host

32 Firewalls A primeira camada, é a rede externa, que está interligada com a Internet através do roteador, nesta camada a rede só conta com o "filtro de pacotes". A segunda camada, é a rede interna, e quem limita os acessos neste ponto é um Bastion Host com um Proxy Firewall, pois nele, temos um outro filtro de pacotes além de mecanismos de autenticação da própria rede interna. Modelos de implementação Screened host gateway

33 Firewalls Define uma camada extra de segurança ao isolar um perímetro da rede tanto da rede externa quanto da rede interna. Modelos de implementação Screened subnet

34 Firewalls Modelos de implementação DMZ – Demilitarized Zone Utilizada em serviços muito visados. Constitui uma barreira entre os serviços internos e os públicos, ou seja, é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet, com função de manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc.), separados da rede local, limitando o potencial dano em caso de invasão. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local!

35 Internet rede interna rede perimetral - DMZ screening router externo bastion host screening router interno

36 Internet rede interna DMZ interna DMZ externa externo interno intermediário WWW/FTP

37 Firewalls Problemas relativos a firewalls Spoofing de endereços de origem Flooding de pedidos de conexão Arquivos cifrados ou imagens de textos Conexões paralelas na rede interna Ataques através de conexões permitidas

38 Múltiplos BHs Internet rede interna FTP rede perimetral - DMZ SMTP2WWW desempenho, redundância, separação de dados e serviços

39 rede interna externo interno bastion host Internet DMZ externa DMZ interna quebra não permite visibilidade do tráfego da rede interna

40 Sistemas de Detecção de Intrusão - IDS DefiniçõesIntruso Qualquer pessoa tentando obter acesso indevido ou utilizando de forma inadequada um sistema ou recurso (com o intuito de torná-lo indisponível ou obter informações confidenciais?). Detecção de Intrusão Processo de identificar e responder a atividades maliciosas dirigidas a computadores e recursos de rede. Coletar informações de sistemas ou redes e analisá-las buscando sinais de intrusão e de mau-uso.

41 DefiniçõesAtaques - Probe: acessar um alvo para determinar suas características - Scan: acessar um conjunto de alvos de forma seqüencial, visando identificar a existência de determinadas características em cada um desses alvos - Flood: acessar repetidamente um alvo, causando uma sobrecarga na sua capacidade de operação - Bypass: evitar um processo pelo uso de um método alternativo de acessar determinado alvo - Spoof: disfarçar-se assumindo a aparência de outra entidade Sistemas de Detecção de Intrusão - IDS

42 Baseados em hosts (exemplo de tipo de arquitetura) Analisam a atividade do sistema através de dados coletados na própria máquina Vantagens: independência de rede detecção de ataques internos reaçãoDesvantagens: dificuldades de instalação e manutenção ataques ao próprio sistema desempenho Sistemas de Detecção de Intrusão - IDS

43 Erros que podem ocorrer no sistema Falso Positivo. Quando o sistema classifica uma ação como uma possível intrusão quando, na verdade, trata-se de uma ação legítima. Por exemplo, uma carga excessiva de acessos a uma página web pode ser caracterizada indevidamente como um ataque do tipo flood. Falso Negativo. Quando uma intrusão real acontece mas o sistema não é capaz de detectá-la, considerando-a legítima. Subversão. Quando o intruso modifica a operação do sistema para forçar a ocorrência de falsos negativos. Sistemas de Detecção de Intrusão - IDS

44 Sistema de Prevenção de Intrusão (IPS) O IPS é um complemento do IDS. Tem a capacidade de: identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos.


Carregar ppt "Firewalls IDS Definição Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes. Ponto."

Apresentações semelhantes


Anúncios Google