A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

2009, Edgard Jamhour FIREWALLS Edgard Jamhour. 2009, Edgard Jamhour FILTRO Riscos a Segurança de uma Rede sniffing Invasão spoofing Invasão.

Apresentações semelhantes


Apresentação em tema: "2009, Edgard Jamhour FIREWALLS Edgard Jamhour. 2009, Edgard Jamhour FILTRO Riscos a Segurança de uma Rede sniffing Invasão spoofing Invasão."— Transcrição da apresentação:

1 2009, Edgard Jamhour FIREWALLS Edgard Jamhour

2 2009, Edgard Jamhour FILTRO Riscos a Segurança de uma Rede sniffing Invasão spoofing Invasão

3 2009, Edgard Jamhour Tipos de Ameaças a Segurança de uma Rede Invasão de Rede (Network Intrusion) –Alguém de fora acessa a uma máquina da rede com poderes de administrador. –A invasão é feita descobrindo-se a senha ou usando algum furo escondido do sistema operacional. IP Address Spoofing –Alguém da rede externa se faz passa por um IP da sua rede interna. Packet Sniffing –Escuta do tráfego local que se propaga pela Ethernet.

4 2009, Edgard Jamhour Camada Física e Enlace de Dados Tecnologias de Redes Locais, como Ethernet, funcionam com broadcast físico, o que permite fazer sniffing na rede. MAC MAC MAC destino origem Se a interface do computador for colocada em modo promíscuo, a informação pode ser facilmente interceptada sniffing

5 2009, Edgard Jamhour Switch: Isolando Domínios de Colisão Packet sniffing pode ser combativo de duas formas: com criptografia e com switches. Os computadores que estão conectados a portas isoladas de um switch são imunes a sniffing. ABC SWITCH HUB DEF HUB G Mesmo domínio de broadcast Não há possibilidade de sniffing

6 2009, Edgard Jamhour Filtragem de Pacotes Protolco de Aplicação FTP, SMTP, HTTP, Telnet, SNM, etc. TCP, UDP Data Link Ethernet, Token Ring, FDDI, etc IP Física Aplicações A filtragem de pacotes é feita com base nas informações contidas no cabeçalho dos protocolos. Tecnologia heterogênea aplicação transporte rede enlace física Seqüência de empacotamento

7 2009, Edgard Jamhour Implementação Física No software do Roteador: screening routers No software de uma estação dedicada (um PC com duas placas de rede). REDE EXTERNA FIREWALL ROTEADOR FIREWALL ROTEADOR REDE EXTERNA REDE INTERNA REDE INTERNA PERSONAL FIREWALL

8 2009, Edgard Jamhour Exemplo Roteadores Cisco –PIX Firewall –Firewall –Roteador –Proxy –Detetor de ataques (SMTP, etc) –Defesa contra fragmentação de IP –Implementa VPN com IPsec –Mais de 256K sessões simultâneas.

9 2009, Edgard Jamhour Exemplo Implementação por Software –Check Point Firewall Interface Gráfica Módulo de Firewall Módulo de Gerenciamento –Mútiplas Plataformas Windows, Solaris, Linux, HP-UX, IBM AIX –Controle de Segurança e Qualidade de Serviço.

10 2009, Edgard Jamhour Segurança na Camada IP = Roteamento Seletivo Roteador Filtro Roteador REDE X REDE X Bloquear pacotes recebidos de uma rede diferente de X Bloquear pacotes destinados a uma rede diferente de X

11 2009, Edgard Jamhour Filtragem de Pacotes Internet screening router O roteamento ou rejeição de pacotes é feito de acordo com a política de segurança da empresa. Interface interna Interface externa

12 2009, Edgard Jamhour Exemplos de Objetivos do Roteamento Seletivo Bloquear todas as conexões que chegam de um sistema externo da rede interna, exceto conexões SMTP. Liberar conexões externas apenas para uma máquina específica da rede (e.g. servidor Web). Permitir aos usuários internos iniciarem conexões de Telnet com o meio externo, mas não o contrário. Liberar acesso a Internet apenas para algumas máquinas da rede interna.

13 2009, Edgard Jamhour Regras de Filtragem Recebe pacote Analisa Cabeçalho OK para encaminhar? Precisa para bloquear? Última Regra? Bloquear Pacote Encaminhar Pacote S S N N N S

14 2009, Edgard Jamhour Exemplo AÇÃO permitir negar IP ORIGEM : * IP DESTION * : * Interpretação: –Geralmente, as regras são definidas individualmente para cada interface. –Cada interface controla apenas os pacotes que entram no roteador. INTERFACE 1 (sair) 2 (entrar) * INTERFACE 1INTERFACE 2 Rede Externa Não -Confiável Rede Interna Confiável

15 2009, Edgard Jamhour Filtragem com base nas Portas TCP e UDP As informações introduzidas no cabeçalho de controle dos protocolos TCP e UPD permitem identificar o tipo de serviço executado na Internet. Essa característica permite estabelecer regras diferenciadas para cada tipo de aplicação executada na Internet, ou numa Intranet. Por exemplo, é possível estabelecer regras de segurança que se aplique somente ao serviço de ftp ou somente ao serviço de telnet. PORTA DE DESTINO PORTA DE ORIGEM datagrama DADOS

16 2009, Edgard Jamhour Portas bem Conhecidas Portas Bem conhecidas (well known ports): Função padronizada pela IANA (The Internet Assigned Numbers Authority) Geralmente usada pelos servidores de serviços padronizados. Portas livres: Usadas pelos clientes e pelos serviços não padronizados 0 … … PORTAS TCP ou UDP

17 2009, Edgard Jamhour Exemplos de portas bem conhecidas

18 2009, Edgard Jamhour Exemplo de Regras de Filtragem regra açãointerface/ sentido protocoloIP origem IP destino Porta origem Porta destino Flag ACK 1aceitarrede interna/ para fora TCPinternoexterno> *[1][1] 2aceitarrede externa/ para dentro TCPexternointerno80> rejeitar******* [1][1] O símbolo "*" indica que qualquer valor é aceitável para regra.

19 2009, Edgard Jamhour Problema:Spoofing de Porta Como diferenciar um ataque externo de uma resposta solicitada por um usuário interno? É necessário liberar pacotes com porta de origem 80 para que a resposta possa passar. Como evitar que a porta 80 seja usada para atacar usuários internos?

20 2009, Edgard Jamhour Característica da Comunicação TCP Comunicação bidirecional, confiável e orientada a conexão. O destino recebe os dados na mesma ordem em que foram transmitidos. O destino recebe todos os dados transmitidos. O destino não recebe nenhum dado duplicado. O protocolo TCP rompe a conexão se algumas das propriedades acima não puder ser garantida.

21 2009, Edgard Jamhour Flags TCP RES: Reservado (2 bits) URG: Urgent Point ACK: Acknowlegment PSH: Push Request RST: Reset Connection SYN: Synchronize Seqüence Number FIN: Mais dados do transmissor

22 2009, Edgard Jamhour Flag ACK Uma conexão TCP sempre se inicia com o cliente enviando um pacote com o flag ACK= 0. ACK=0 ACK=1 tempo ACK=1...

23 2009, Edgard Jamhour Filtragem com Protocolo UDP Comunicação bidirecional, sem nenhum tipo de garantia. –Os pacotes UDP podem chegar fora de ordem. –Pode haver duplicação de pacotes. –Os pacotes podem ser perdidos. Cada pacote UDP é independente é não contém informações equivalentes ao flag ACK dos pacotes.

24 2009, Edgard Jamhour Mensagem UDP As mensagens UDP não possuem flags de controle pois o protocolo UDP não oferece a mesma qualidade de serviço que o protocolo TCP.

25 2009, Edgard Jamhour Dynamic Packet Filtering com UDP Para poder criar regras sobre quem inicia uma comunicação no protocolo UDP, os roteadores precisam se lembrar das portas utilizadas :1025 >>> :53 tempo :53 >>> : :53 >>> : :53 >>> :1025

26 2009, Edgard Jamhour Regras para Filtragem de Pacotes Implementação: –Analisar o cabeçalho de cada pacote que chega da rede externa, e aplicar uma série de regras para determinar se o pacote será bloqueado ou encaminhado. ESTRATÉGIAS –A) TUDO QUE NÃO É PROIBIDO É PERMITIDO. –B) TUDO QUE NÃO É PERMITIDO É PROIBIDO.

27 2009, Edgard Jamhour Exemplo: TUDO QUE NÃO É PERMITIDO É PROIBIDO Ação permitir negar Protocolo tcp * IP Origem interno * Porta Origem > * IP Destino * interno * Porta Destino 23 > 1023 * ACK * 1 * Interpretação: –Hosts Internos podem acessar servidores de telnet internos ou externos. –Hosts externos podem apenas responder a requisições, não podem iniciar um diálogo (estabelecer uma conexão). Direção Sair Entrar *

28 2009, Edgard Jamhour Regras de Filtragem Recebe pacote Analisa Cabeçalho OK para encaminhar? Precisa para bloquear? Última Regra? Bloquear Pacote Encaminhar Pacote S S N N N S

29 2009, Edgard Jamhour Exemplo INTERNET ? ?.?.?.? 23 Ação permitir negar Protocolo tcp * IP Origem :24 * Porta Origem > 1023 * IP Destino * Porta Destino 23 * ACK * INTERFACE 1 INTERFACE 2 Ação permitir negar Protocolo tcp * IP Origem * Porta Origem 23 * IP Destino :24 * Porta Destino > 1023 * ACK 1 * > 1023

30 2009, Edgard Jamhour Exemplo Interpretação: –Hosts Internos podem acessar servidores de telnet internos ou externos. –Hosts externos podem acessar servidores de web internos. Ação permitir negar Protocolo tcp * IP Origem interno * interno * Porta Origem > > * IP Destino * interno * Porta Destino 23 > > 1023 * ACK * 1 * 1 * Direção Out In Out *

31 2009, Edgard Jamhour Seqüência de Criação de Regras A seqüência na qual as regras são aplicadas pode alterar completamente o resultado da política de segurança. Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista. Ação permitir negar Protocolo tcp * IP Origem interno * interno * Porta Origem > > * IP Destino * interno * Porta Destino 23 > > 1023 * ACK * 1 * 1 * Direção Out In Out * O deslocamento de uma regra genérica para cima anula as demais.

32 2009, Edgard Jamhour Ciclos CPU 100 MHz Desempenho do Filtro de Pacotes O processo de filtragem de pacotes exige que um certo processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido. Dependendo da velocidade da linha de transmissão, esse processamento pode ou não causar uma degradação do desempenho da rede. Conexão 56 Kbit/s 2 Mbit/s 10 Mbit/s 100 Mbit/s 1Gbit/s Pacotes/s (20 bytes) Tempo disponível 2.86 ms 80 s 16 s 1.6 s 0.16 s

33 2009, Edgard Jamhour Exercício 1 INTERNET ?.?.?.? > 1023 TCP 80TCP 25 UDP 53 TCP 80TCP 25 UDP

34 2009, Edgard Jamhour Exercício 1 Defina as regras de filtragem implementar a seguinte política de segurança: a)Os computadores da rede Interna podem acessar qualquer servidor Web na Internet. b)Computadores da rede Externa podem acessar apenas o servidor Web da rede Interna. c)O servidor DNS interno deve poder se comunicar com outros servidores DNS na Internet. d)O servidor de interno deve poder se comunicar com outros servidores de da Internet. e)Todos os demais acessos são proibidos.

35 2009, Edgard Jamhour Exercício 1 AÇÃOINTERFACEPROTOCOLOIP ORIGEMIP DESTINOPORTA ORIGEM PORTA DESTINO FLAG ACK

36 2009, Edgard Jamhour Arquiteturas de Filtros de Pacotes Filtros de Pacotes são os principais componentes dos Firewalls. Rede Interna Confiável Rede Externa Não -Confiável Estratégia de Firewall Filtros de Pacotes e Gateways de Aplicação

37 2009, Edgard Jamhour A - Definições Firewall –Um componente ou conjunto de componentes que restringem o acesso entre um rede protegida e a Internet, ou entre outro conjunto de redes. Host –Um computador conectado a rede. Bastion Host –Um computador que precisa ser altamente protegido, pois é suscetível a sofrer ataques. O bastion host é um computador exposto simultaneamente a Internet e a rede interna.

38 2009, Edgard Jamhour Definições Dual-homed host –Qualquer computador com duas interfaces (placas) de rede. Packet –Unidade fundamental de comunicação na Internet. Packet Filtering (screening) –Controle seletivo do fluxo de dados que entra e sai de uma rede. –A filtragem de pacotes é feita especificando um conjunto de regras que determinam que tipos de pacotes (baseados em IP e portas) são permitidos e que tipos devem ser bloqueados.

39 2009, Edgard Jamhour Definições Perimeter Network –Uma rede adicionada entre a rede protegida e uma rede externa, com o objetivo de proporcionar uma camada a mais de segurança. Também chamada de DMZ (De-Militarized Zone). Proxy Server –Um programa que intermedia o contado de clientes internos com servidores externos.

40 2009, Edgard Jamhour B) Arquiteturas Básicas de Firewall I) Dual-Homed Host com Proxy II) Filtragem Simples de Pacotes III) DMZ (Rede de Perímetro)

41 2009, Edgard Jamhour Proteção por Tipos de IP IPs públicos –Tem acesso a qualquer serviço na Internet. –Podem ser protegidos por firewalls: Filtragem Simples de Pacotes ou DMZ. IPs privados –São naturalmente protegidos de acessos externos. –Elementos são colocados na rede para permitir o seu acesso a serviços disponíveis na Internet.

42 2009, Edgard Jamhour I) Dual-Homed com Proxy Interface interna Interface externa Dual-Homed Host Hosts Internos Proxy Bastion Host RoteamentoDesabilitado INTERNET Rede com IPs Privados IP privado IP público

43 2009, Edgard Jamhour Proteção com Roteador e NAT Interface interna Interface externa Roteador com NAT Hosts Internos Firewall RoteamentoDesabilitado INTERNET Rede com IPs Privados IP privado IP público

44 2009, Edgard Jamhour II) Filtragem Simples Interface interna Interface externa Screening Router Host Interno Bastion Host FIREWALL INTERNET

45 2009, Edgard Jamhour Regras de Filtragem O bastion host é diferenciado dos demais computadores pelas regras do filtro de pacotes. No exemplo abaixo, o bastion host é o único computador que pode receber conexões externas. Todavia, o único serviço habilitado é o http. Ação permitir negar Protocolo tcp * IP Origem interno * b.host * Porta Origem > 1023 * > * IP Destino * interno b.host * Porta Destino * > > 1023 * ACK * 1 * Direção Out In Out *

46 2009, Edgard Jamhour III) Rede de Perímetro (DMZ) Host Interno Internet Roteador Interno Bastion Host DMZ - Rede de Perímetro Rede Interna Roteador Externo

47 2009, Edgard Jamhour Roteador Interno (Choke Router) Protege a rede interna da rede externa e da rede de perímetro. É responsável pela maioria das ações de filtragem de pacotes do firewall. Ação permitir negar Protocolo tcp * IP Origem interno * Porta Origem > 1023 * IP Destino * interno * Porta Destino * > 1023 * ACK * 1 * Direção Out In * EXEMPLO DE REGRAS PARA O CHOKE ROUTER

48 2009, Edgard Jamhour Roteador Externo (Access Router) Protege a rede interna e a rede de perímetro da rede externa. Muitas vezes, a função o roteador externo está localizado no provedor de acesso. Em geral, utiliza regras de filtragem pouco severas. Ação permitir negar Protocolo tcp * IP Origem interno * dmz * Porta Origem > 1023 * > 1023 * IP Destino * interno dmz * Porta Destino * > 1023 * > 1023 * ACK * 1 * Direção Out In Out * EXEMPLO DE REGRAS PARA O ACCESS ROUTER

49 2009, Edgard Jamhour Rede de Perímetro com Proxy Hosts Internos Com IPs Privados Internet Bastion Host DMZ - Rede de Perímetro Rede Interna Roteador Externo Servidor Proxy

50 2009, Edgard Jamhour EXERCÍCIO Hosts Interno Internet Roteador Interno Bastion Host DMZ - Rede de Perímetro Rede Interna Roteador Externo I1 I2 E1 E

51 2009, Edgard Jamhour DEFINIÇÃO DAS ROTAS Indique as Rotas que Devem Existir: A) Computadores da Rede Interna B) Roteador Interno C) Bastion Host D) Roteador Externo

52 2009, Edgard Jamhour EXERCÍCIO Defina as regras para filtragem de pacotes dos roteadores da arquitetura DMZ para: –A) Permitir aos computadores externos acessarem o serviço HTTP no bastion HOST. –B) Permitir aos computadores externos acessar o serviço SMTP no bastion HOST. –C) Permitir aos usuários internos acessarem o serviço POP, SMTP e HTTP no bastion HOST. –D) Permitir aos usuários internos acessarem qualquer servidor HTTP externo. –E) Proibir todos os demais acessos.

53 2009, Edgard Jamhour Roteador Interno AÇÃOINTERFACEPROTOCOLOIP ORIGEMIP DESTINOPORTA ORIGEM PORTA DESTINO FLAG ACK

54 2009, Edgard Jamhour Roteador Externo AÇÃOINTERFACEPROTOCOLOIP ORIGEMIP DESTINOPORTA ORIGEM PORTA DESTINO FLAG ACK

55 2009, Edgard Jamhour Novas Tecnologias para Firewalls PARTE 1: –Stateful Inspection PARTE 2: –IP Sec PARTE 3: –Integração com Serviços de Diretório (LDAP)

56 2009, Edgard Jamhour Stateful Inspection As primeiras gerações de firewall eram ditos "stateless". –Cada pacote é analisado individualmente, sem levar em conta pacotes anteriores trocados na mesma conexão. –Os firewalls baseados em filtros de pacotes não olham o conteúdo dos protocolos de aplicação. Uma alternativa para os filtros de pacotes são os gateways de aplicação. –Gateways de aplicação (Proxy) são "stateful": Isto é, eles guardam o estado das conexões inciadas pelos clientes. –Alguns tipos de gateways de aplicação (Proxy) são capazes de analisar o conteúdo dos pacotes. –Todavia, são dependentes da aplicação (não funcionam para aplicações desconhecidas) e tem baixo desempenho.

57 2009, Edgard Jamhour Filtro de Pacotes Usualmente implementado em roteadores. São idependentes da aplicação (analisam apenas informações de IP e Porta). Tem alto desempenho.

58 2009, Edgard Jamhour Filtro de Pacotes: Problemas de Segurança São stateless: –Precisam liberar todas as portas de cliente (> 1023) para permitir uma comunicação FTP. Apenas duas opções: –Ou libera-se todas as portas ou bloqueia-se o serviço todo.

59 2009, Edgard Jamhour Application Layer Gateways Usualmente Implementados em Servidores. Duas versões: Dependentes de Aplicação –Examinam o conteúdo dos pacotes, incluido os protoclos de aplicação. –Não abrem as portas dos clientes. Socks –Não precisa examinar o conteúdo.

60 2009, Edgard Jamhour Socks Proxy Um proxy pode ser configurado de duas maneiras: –A) Em cada aplicação cliente Browser, FTP, etc. –B) No sistema operacional Substituindo o driver de sockets. Neste caso, o cliente e o proxy conversam através de um protocolo denominado Socks. Este protocolo redireciona todos as informações transmitidas pelo cliente par ao Proxy, e inclui novos campos para identificar o destino das mensagens. WinSock Socks Aplicação Sockets TCPUDP IP

61 2009, Edgard Jamhour Procolo Socks A versão corrente do protocolo SOCKs é 5.0 –RFC1928: suporta TCP, UDP e autenticação As implementações atuais, entretanto, estão na versão 4 –Suporta apenas TCP. Algumas soluções proprietárias suportam também ICMP. Cliente Socks Socks Proxy Server CONNECT: IP_Destino, Porta_Destino, UserID IP destino, Porta Destino PORTA

62 2009, Edgard Jamhour Application Layer Gateway Problemas de Desempenho Quebram o esquema cliente- servidor (o proxy cria uma nova conexão para cada cliente). –O número de sessões no Gateway é duplicado. –Cada conexão mantém um processo no Proxy.

63 2009, Edgard Jamhour Stateful Inspection Tecnologia Desenvolvida pela CheckPoint. Implementa o conceito de estado sem criar novas conexões no roteador. –Um módulo de software analisa permanentemente o conteúdo dos pacotes que atravessam o firewall. –As informações relevantes dos pacotes são armazenadas em tabelas dinâmicas para porterior uso. –A decisão quanto a passagem ou não de um pacote leva em conta o conteúdo de pacotes anteriormente trocados na mesma conexão.

64 2009, Edgard Jamhour Stateful Inspection Para poder criar regras sobre quem inicia uma comunicação, o firewall armazena informações sobre as portas utilizadas pelo cliente :1025 >>> :53 tempo :53 >>> : :53 >>> : :53 >>> :1025

65 2009, Edgard Jamhour Stateful Inspection Analisa o conteúdo dos pacotes sem quebrar o modelo cliente servidor. A informação de estado é capturada quando o pacote através o firewall e armazenadas em tabelas dinâmicas.

66 2009, Edgard Jamhour Stateful Inspection Quando o cliente requisita um serviço FTP, o Firewall armazena a porta utilizada numa tabela dinâmica, não liberando nenhuma outra porta do cliente.

67 2009, Edgard Jamhour Segurança de Conteúdo Além das informações de portas, as informações de conteúdo também são utilizadas pelo Firewall. Normalmente, apenas os protocolos mais comuns são analisados. –HTTP: Permite Filtrar: Métodos de acesso (GET, POST), URLs ("*.sk"), etc TAGS em HTML com referências a Applets em Java ou Objetos Active X. Dowload de certos tipos MIME. –FTP: Permite Filtrar Comandos específicos (PUT, GET), Nomes de Arquivo Pode disparar antivirus para verificação de arquivos. –SMTP: Permite criar regras de Filtragem baseadas Nos campos FROM e TO Tipo MIME Etc.

68 2009, Edgard Jamhour Integração com Métodos de Autenticação Firewalls com Tecnlogia Stateful permitem criar regras de filtragem baseados no login do usuário ao invés do endereço IP. Estas técnicas simplificam o processo de criar regras de filtragem pois o usuário pode acesar o serviço independentemente da máquina que estiver usando. Esta tecnologia só é possível para firewalls "Stateful". Três métodos são usualmente disponíveis: –User Authentication (transparente) –Session Autentication –Mapeamento Transparente do Usuário em Endereço

69 2009, Edgard Jamhour Integração com Métodos de Autenticação –User Authentication (transparente) Permite a usuário remoto acessar um serviço da rede independente do seu IP. O firewall reconhece o login do usuário analisando o conteúdo dos protocolos FTP, HTTP, TELNET e RLOGIN. –Session Authentication Quando o usuário tenta acessar um serviço da rede o Firewall envia para o cliente um pedido de login (challange message). O cliente deve ter um software especial para confirmar a senha. Só então o acesso é permitido (ou negado).

70 2009, Edgard Jamhour Integração com Métodos de Autenticação Mapeamento Transparente entre Usuário e Endereço –O Firewall captura mensagens DHCP para as máquinas. –O Firewall captura as mensagens de login trocadas entre o usuário e o servidores de domínio da rede. CHECK POINT, por exemplo, suporta as mensagens do Windows NT. O usuário não se loga no Firewall, o sucesso do login é identificado pelo Firewall também capturando as mensagens do servidor.


Carregar ppt "2009, Edgard Jamhour FIREWALLS Edgard Jamhour. 2009, Edgard Jamhour FILTRO Riscos a Segurança de uma Rede sniffing Invasão spoofing Invasão."

Apresentações semelhantes


Anúncios Google