A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Criptografia e Segurança de rede Lição 20 4ª Edição by William Stallings Lecture slides by Lawrie Brown.

Apresentações semelhantes


Apresentação em tema: "Criptografia e Segurança de rede Lição 20 4ª Edição by William Stallings Lecture slides by Lawrie Brown."— Transcrição da apresentação:

1 Criptografia e Segurança de rede Lição 20 4ª Edição by William Stallings Lecture slides by Lawrie Brown

2 Lição 20 – Firewalls A função de uma forte posição é fazer com que as forças de exploração sejam praticamente imbatível. On War, Carl Von ClausewitzOn War, Carl Von Clausewitz

3 Introdução visto a evolução dos sistemas de informação visto a evolução dos sistemas de informação agora todos querem estar na Internet agora todos querem estar na Internet e para interligar redes e para interligar redes existem persistentes preocupações de segurança existem persistentes preocupações de segurança não pode facilmente obter todos os sistemas em org não pode facilmente obter todos os sistemas em org normalmente usam um Firewall normalmente usam um Firewall para fornecer perímetro de defesa para fornecer perímetro de defesa como parte da estratégia de segurança como parte da estratégia de segurança

4 O que é uma Firewall? Um ponto de estrangulamento de controle e monitoramento Um ponto de estrangulamento de controle e monitoramento interconecta redes com diferentes restrições interconecta redes com diferentes restrições impõe restrições à rede de serviços impõe restrições à rede de serviços apenas autoriza o tráfego que é permitido apenas autoriza o tráfego que é permitido autenticação e controlo do acesso autenticação e controlo do acesso pode implementar com alarmes para comportamento anormal pode implementar com alarmes para comportamento anormal fornece NAT e usa monitoramento fornece NAT e usa monitoramento implementa VPNs usando IPSec implementa VPNs usando IPSec deve ser imune à penetração deve ser imune à penetração

5 Limitações do Firewall não pode proteger contra ataques que contornam o firewall não pode proteger contra ataques que contornam o firewall por exemplo, redes de espiões, utilitário de modens, organizações e serviços confiáveis (por exemplo SSL/SSH) por exemplo, redes de espiões, utilitário de modens, organizações e serviços confiáveis (por exemplo SSL/SSH) não pode proteger contra ameaças internas não pode proteger contra ameaças internas por exemplo, funcionários descontentes ou coniventes por exemplo, funcionários descontentes ou coniventes não pode proteger contra transferência de programas ou arquivos infectados com vírus. não pode proteger contra transferência de programas ou arquivos infectados com vírus. devido à enorme gama de O/S e tipos de arquivo devido à enorme gama de O/S e tipos de arquivo

6 Firewalls – Pacotes de Filtros simples e mais rápido componente de firewall simples e mais rápido componente de firewall base de qualquer sistema de firewall base de qualquer sistema de firewall examinar cada pacote IP (sem conteudo), permiti ou nega, de acordo com as regras examinar cada pacote IP (sem conteudo), permiti ou nega, de acordo com as regras por consequencia, restringi o acesso a serviços (portas) por consequencia, restringi o acesso a serviços (portas) possíveis políticas padrões: possíveis políticas padrões: que não é expressamente permitido é proibido que não é expressamente permitido é proibido que não é expressamente proibido é permitido que não é expressamente proibido é permitido

7 Firewalls – Pacotes de Filtros

8

9 Ataques em Pacotes de Filtros Falsificação de endereço IP (spoofing) Falsificação de endereço IP (spoofing) fornece endereço falso para ser aceito fornece endereço falso para ser aceito adicionar filtros no roteador para bloquear adicionar filtros no roteador para bloquear Ataques de roteamento da origem Ataques de roteamento da origem ataque utilizando uma rota diferente da padrão ataque utilizando uma rota diferente da padrão descartar todos os pacotes que usam essa opção descartar todos os pacotes que usam essa opção Ataques de fragmento pequenos Ataques de fragmento pequenos informações de cabeçalho dividida em vários pacotes pequenos informações de cabeçalho dividida em vários pacotes pequenos rejeitar ou descartar todos os fragmentos subsequentes rejeitar ou descartar todos os fragmentos subsequentes

10 Firewalls – Pacotes de Filtros com Estado filtros de pacotes tradicionais não analisam contexto da camada superior filtros de pacotes tradicionais não analisam contexto da camada superior Pacotes de Filtros com Estado (stateful packet filters) aborda essa necessidade Pacotes de Filtros com Estado (stateful packet filters) aborda essa necessidade examinar cada pacote IP examinar cada pacote IP acompanha sessões de cliente-servidor acompanha sessões de cliente-servidor verificar e valida cada pacote de IP verificar e valida cada pacote de IP são capazes de detectar falsos pacotes enviados fora do contexto. são capazes de detectar falsos pacotes enviados fora do contexto.

11 Firewalls – Nível de Aplicação Gateway (ou Proxy) têm aplicação específica gateway / proxy têm aplicação específica gateway / proxy tendo pleno acesso ao protocolo tendo pleno acesso ao protocolo usuário solicita serviço de proxy usuário solicita serviço de proxy proxy valida pedido proxy valida pedido retornando o resultado para o usuário retornando o resultado para o usuário autorizando login / autenticação de tráfego em nível aplicação autorizando login / autenticação de tráfego em nível aplicação necessita proxy separado para cada serviço necessita proxy separado para cada serviço alguns serviços comuns suportam proxy alguns serviços comuns suportam proxy outros são mais problemáticas outros são mais problemáticas

12 Firewalls - Nível de Aplicação Gateway (ou Proxy)

13 Firewalls - Gateway em Nível de Circuito

14 Bastion Host Sistema de host altamente seguro Sistema de host altamente seguro executa circuito / aplicação em nível gateways executa circuito / aplicação em nível gateways ou presta serviços acessíveis externamente ou presta serviços acessíveis externamente garante suporte para: garante suporte para: hardened O/S, essential services, extra auth hardened O/S, essential services, extra auth proxies pequenos, seguro, independente, não- privilegiado proxies pequenos, seguro, independente, não- privilegiado pode servir de suporte para duas ou mais conexões à rede pode servir de suporte para duas ou mais conexões à rede confiável para aplicar políticas de confiança na separação entre conexões de rede confiável para aplicar políticas de confiança na separação entre conexões de rede

15 Configurações do Firewall

16

17

18 Controle de Acesso dado o usuário o sistema identifica dado o usuário o sistema identifica determina o recurso que ele pode acessar determina o recurso que ele pode acessar modelo geral da matriz de acesso: modelo geral da matriz de acesso: sujeito – entidade ativa (usuário, aplicação) sujeito – entidade ativa (usuário, aplicação) objeto - entidade passiva(arquivos ou recursos) objeto - entidade passiva (arquivos ou recursos) Direito de acesso – modo em que o objeto é acessado pelo sujeito. Direito de acesso – modo em que o objeto é acessado pelo sujeito. pode decompor-se : pode decompor-se : colunas como listas de controlo de acesso colunas como listas de controlo de acesso linhas como capacidade de tickets linhas como capacidade de tickets

19 Matrix de Controle de Acesso

20 Sistemas Confiáveis segurança da informação é cada vez mais importante segurança da informação é cada vez mais importante apresentam diferentes graus de sensibilidade na informação apresentam diferentes graus de sensibilidade na informação cf militar classificações das informações: confidencial, secreto etc cf militar classificações das informações: confidencial, secreto etc sujeitos (pessoas ou programas) têm diferentes direitos de acesso a objetos (informações) sujeitos (pessoas ou programas) têm diferentes direitos de acesso a objetos (informações) máximo nível de segurança máximo nível de segurança objetos com classificação de nível de segurança objetos com classificação de nível de segurança criar formas de reforçar a confiança nos sistemas criar formas de reforçar a confiança nos sistemas

21 Modelo Bell LaPadula (BLP) um dos mais famosos modelos de segurança um dos mais famosos modelos de segurança com políticas obrigatórias implementadas no sistema com políticas obrigatórias implementadas no sistema existem duas políticas fundamentais: existem duas políticas fundamentais: Nenhuma leitura acima (no read up) Nenhuma leitura acima (no read up) Um sujeito só pode ler um objeto que tenha um nível de segurança inferior ou igual ao seu. Um sujeito só pode ler um objeto que tenha um nível de segurança inferior ou igual ao seu. Nenhuma escrita abaixo (no write down) Nenhuma escrita abaixo (no write down) Um sujeito só pode escrever em um objeto que tenha um nível de segurança maior ou igual ao seu. Um sujeito só pode escrever em um objeto que tenha um nível de segurança maior ou igual ao seu.

22 Monitor de Referência

23 Sistema de Avaliação governos avaliam os sistemas de TI governos avaliam os sistemas de TI contra uma série de normas: contra uma série de normas: TCSEC, IPSEC e CC - Common Criteria TCSEC, IPSEC e CC - Common Criteria defini uma série de "níveis" de avaliação, com testes cada vez mais rigorosos defini uma série de "níveis" de avaliação, com testes cada vez mais rigorosos são publicadas listas de produtos avaliados são publicadas listas de produtos avaliados visando a utilização no governo visando a utilização no governo pode ser útil também na indústria pode ser útil também na indústria

24 CC - Common Criteria Iniciativa internacional das agências para desenvolver padrões e definir critérios de avaliação Iniciativa internacional das agências para desenvolver padrões e definir critérios de avaliação incorporando normas anteriores incorporando normas anteriores por exemplo: CSEC, ITSEC, CTCPEC (Canadian), Federal (US) por exemplo: CSEC, ITSEC, CTCPEC (Canadian), Federal (US) define normas para define normas para critérios de avaliação critérios de avaliação metodologia para aplicação dos critérios metodologia para aplicação dos critérios procedimentos administrativos para avaliação, certificação e regimes de aprovação procedimentos administrativos para avaliação, certificação e regimes de aprovação

25 CC - Common Criteria define conjunto de requisitos de segurança define conjunto de requisitos de segurança tem um Alvo de Avaliação ( Target Of Evaluation (TOE)) tem um Alvo de Avaliação ( Target Of Evaluation (TOE)) requisitos podem estar em duas categorias requisitos podem estar em duas categorias funcionais funcionais garantia garantia ambos organizados em classes de diversas famílias e componentes ambos organizados em classes de diversas famílias e componentes

26 Requisitos do Common Criteria Requisitos funcionais Requisitos funcionais Auditoria, suporte criptográficos, comunicações, proteção de dados do usuário, identificação e autenticação, gerenciamento de segurança, privacidade,proteção das funções TOE, acesso TOE e canais confiáveis Auditoria, suporte criptográficos, comunicações, proteção de dados do usuário, identificação e autenticação, gerenciamento de segurança, privacidade,proteção das funções TOE, acesso TOE e canais confiáveis Requisitos de garantia Requisitos de garantia Gerenciamento de configuração, entrega e operação, desenvolvimento, documento de orientação, suporte do ciclo de vida, testes… Gerenciamento de configuração, entrega e operação, desenvolvimento, documento de orientação, suporte do ciclo de vida, testes…

27 Common Criteria

28 Critérios Comuns

29 Sumário Assuntos vistos: Assuntos vistos: firewalls firewalls tipos de firewalls tipos de firewalls configurações configurações controle de acesso controle de acesso sistemas confiáveis sistemas confiáveis Common Criteria Common Criteria


Carregar ppt "Criptografia e Segurança de rede Lição 20 4ª Edição by William Stallings Lecture slides by Lawrie Brown."

Apresentações semelhantes


Anúncios Google