Firewalls IDS profa_samaris@yahoo.com.br

Definição Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes. Ponto de conexão entre duas redes não confiáveis. Pode ser um hardware, um software ou ambos. Permite que a comunicação seja monitorada e segura.

Filtro Gateway(s) uma máquina conjunto de máquinas que oferece(m) serviços através de proxy protege o gateway de ataques Gateway(s) Filtro Internet rede interna

Filtro Gateway(s) uma máquina conjunto de máquinas que oferece(m) serviços através de proxy zona desmilitarizada (DMZ) gateway + gateway interno protege o gateway de ataques Gateway(s) Filtro Internet rede interna

Propriedades Todo tráfego deve passar pelo firewall. Somente o tráfego autorizado pode passar para a rede monitorada. O firewall propriamente dito pode ser considerado imune de invasões. Ele deve garantir a política de segurança. Seu é mais eficiente do que espalhar decisões e tecnologias de segurança. Limita a exposição. Permite rastreamento: . origem das conexões; . quantidade de tráfego no servidor; . tentativa de quebra do sistema.

Não oferece proteção contra: Ataques internos maliciosos. Conexões que não passam pelo firewall. Ameaças totalmente novas. Vírus.

Exemplo de Estrutura Roteador. PC para controle com sistema operacional adequado. Conjunto de hosts. Obs.: Roteador (do inglês router - encaminhador): dispositivo usado para fazer a comutação de protocolos (comunicação entre diferentes redes de computadores, distantes entre si). Operam na camada 3 do modelo OSI. Seleciona a rota mais apropriada para encaminhar os pacotes recebidos (o melhor caminho disponível na rede para um determinado destino). Host é qualquer máquina ou computador conectado a uma rede.

Rede protegida por firewall

Tecnologia Estática Dinâmica permitir qualquer serviço a menos que ele seja expressamente negado. negar qualquer serviço a menos que ele seja expressamente permitido. Dinâmica permitir/negar qualquer serviço para quando e por quanto tempo desejar.

Firewalls Como funciona

Firewalls Rede protegida por firewall

Firewalls Rede protegida por firewall

Firewalls Funcionalidades de um firewall Atua como uma barreira entre duas ou mais redes Permite bloquear a entrada e/ou a saída de pacotes Possibilita a configuração de logs e alarmes Conversão de endereços de rede IP (NAT) Criptografia e autenticação Administração local e remota Integração com aplicativos de segurança (IDS, anti-virus)

Firewalls Conexões de entrada (INPUT) São as que vem de fora com destino direto à rede a ser protegida. Conexões de saída (OUTPUT) São exatamente o inverso, partindo da rede protegida com destino a um host (servidor) remoto. Conexões de redirecionamento (FORWARD) Vem de fora (redes externas ou internas) e entram na rede protegida, porém elas devem ser encaminhadas a outro host. O encaminhamento de pacotes geralmente aparece em redes internas, onde o acesso à web é feito via NAT (Network Address Translation).

Firewalls Portas TCP e UDP Tanto os protocolos de rede TCP (o mais comum) e UDP (usado muito em conteúdo streaming, entre outras funções) oferecem uma série de portas lógicas para que os diferentes protocolos de transmissão de dados (HTTP, FTP, POP, etc.) possam operar. São 65535 portas TCP mais 65535 portas UDP. Cada protocolo de dados usa uma porta específica: HTTP usa a porta 80 TCP, FTP usa as portas 20 (em modo FTP ativo) e 21 TCP (tanto no modo Ativo quanto Passivo), POP usa a porta 110 TCP, e assim por diante.

Firewalls Portas TCP e UDP Para que um aplicativo servidor de páginas Web funcione (Apache, IIS, Tomcat, etc.), por exemplo, é necessário configurar o sistema de forma que a porta 80 aceite conexões de entrada; para configurar o Terminal Services do Windows Server, é necessário liberar conexões entrantes na porta 3389 TCP; e assim por diante. Não é possível se conectar em portas fechadas, a não ser que você se aproveite de alguma vulnerabilidade do protocolo TCP/IP.

Firewalls Portas abertas, fechadas e filtradas Para que uma tarefa de servidor aceite conexões entrantes, é necessário que a porta correspondente ao serviço esteja aberta (OPEN). Quando ela está fechada (CLOSED), não é permitido conexões de entrada. O modo filtrado (FILTERED, ou STEALTHED ou ainda BLOCKED) não só fecha a porta como impede que um acesso externo consulte a situação dela ou tente realizar conexões. Um bom firewall deve filtrar as portas não usadas, pois ainda que elas estejam fechadas, é possível se aproveitar de alguma vulnerabilidade do protocolo TCP/IP para forçar a entrada. Stealth - cautela

Firewalls Escopo Define o campo de atuação de uma determinada regra de firewall. Exemplos: Liberar apenas uma porta específica à web, enquanto que as demais deverão ser visíveis apenas à rede interna. Liberar o acesso à porta 23 (telnet) apenas ao IP do administrador.

Firewalls Escopo Para implementar essas restrições é necessário definir o escopo para cada uma das regras do firewall. Ele é formado pelo número IP, e pode ser acrescida a máscara de rede, de forma a abrir ou restringir o acesso à todos os hosts daquela faixa de IP. Exemplos de IPs e suas respectivas máscaras são: 192.168.0.0/16 (o mesmo que 192.168.0.0/255.255.255.0), 172.16.0.0/24 (ou 172.16.0.0./255.255.0.0) e 10.0.0.0/32 (ou 10.0.0.0/255.0.0.0). Para liberar/bloquear a porta a todos, geralmente não é necessário especificar o escopo, ou deve-se usar 0.0.0.0/0.0.0.0.

Firewalls Arquitetura interna de um firewall Filtros de pacotes (Packet filtering) Gateway de aplicação (Application gateway layer) Inspeção completa de estados (Full state inspection)

Arquitetura interna de um firewall Filtros de pacotes (Packet filtering) Filtragem baseada em endereços fonte e destino portas fonte e destino protocolo flags tipo da mensagem. Filtragem baseada em: . endereços fonte e destino; . portas fonte e destino; . protocolo; . flags; . tipo da mensagem.

Firewalls Arquitetura interna de um firewall Gateway de aplicação (Application gateway layer)

Firewalls Arquitetura interna de um firewall Inspeção completa de estado (Full state inspection)

Firewalls Arquitetura interna de um firewall Computer Networks - Tanenbaum

Firewalls Vantagens x Desvantagens Filtro de pacotes Baixo custo Transparente para aplicação Baixa segurança Sujeito a IP spoofing Filtra somente até a camada 3 Gateway de aplicação Bom nível de segurança Verificação na camada de aplicação Baixa performance Pouca escalabilidade Não é transparente Inspeção de estado Verificação em todas as camadas Boa performance Alto custo

Firewalls Modelos de implementação Screening router Dual-homed host Screened host Screened subnet

Internet Firewalls Modelos de implementação Screening router rede interna Internet screening router Firewalls Modelos de implementação Screening router Essa é a maneira mais simples de se implementar um Firewall, pois o filtro, apesar de ser de difícil elaboração, é rápido de se implementar e seu custo é baixo, entretanto, se as regras do roteador forem quebradas, a rede da empresa ficará totalmente vulnerável.

Firewalls Modelos de implementação Screening router Vantagens: Baixo custo, Alto desempenho Desvantagens: Nível básico de proteção, não permite muita flexibilidade na configuração.

Firewalls Modelos de implementação Dual homed host Uma única máquina com duas interfaces de rede entre a Internet e a rede da empresa. Quase sempre, esse Gateway, chamado de Bastion Host conta com um Proxy de circuito para autenticar o acesso da rede da empresa para a internet e filtrar o acesso da Internet contra a rede da empresa.

Firewalls Modelos de implementação Dual Homed Host Vantagens: Maior nível de controle Desvantagens: Menor desempenho

Screened Host Architecture Internet screening router Screened Host Architecture rede interna bastion host

Firewalls Modelos de implementação Screened host gateway A primeira camada, é a rede externa, que está interligada com a Internet através do roteador, nesta camada a rede só conta com o "filtro de pacotes". A segunda camada, é a rede interna, e quem limita os acessos neste ponto é um Bastion Host com um Proxy Firewall, pois nele, temos um outro filtro de pacotes além de mecanismos de autenticação da própria rede interna.

Firewalls Modelos de implementação Screened subnet Define uma camada extra de segurança ao isolar um perímetro da rede tanto da rede externa quanto da rede interna.

Firewalls Modelos de implementação DMZ – Demilitarized Zone Utilizada em serviços muito visados. Constitui uma barreira entre os serviços internos e os públicos, ou seja, é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet, com função de manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc.), separados da rede local, limitando o potencial dano em caso de invasão. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local!

Screened Subnet Architecture Internet rede interna rede perimetral - DMZ screening router externo bastion host screening router interno 35

Múltiplas Camadas Internet WWW/FTP externo DMZ externa intermediário rede interna Múltiplas Camadas DMZ interna DMZ externa externo interno intermediário WWW/FTP Internet 36

Firewalls Problemas relativos a firewalls Spoofing de endereços de origem Flooding de pedidos de conexão Arquivos cifrados ou imagens de textos Conexões paralelas na rede interna Ataques através de conexões permitidas

Screened Subnet Architecture Internet Múltiplos BHs WWW FTP SMTP2 rede perimetral - DMZ Screened Subnet Architecture desempenho, redundância, separação de dados e serviços rede interna

visibilidade do tráfego Internet quebra não permite visibilidade do tráfego da rede interna externo DMZ externa belt suspenders bastion host DMZ interna interno rede interna

Sistemas de Detecção de Intrusão - IDS Definições Intruso Qualquer pessoa tentando obter acesso indevido ou utilizando de forma inadequada um sistema ou recurso (com o intuito de torná-lo indisponível ou obter informações confidenciais?). Detecção de Intrusão Processo de identificar e responder a atividades maliciosas dirigidas a computadores e recursos de rede. Coletar informações de sistemas ou redes e analisá-las buscando sinais de intrusão e de mau-uso.

Sistemas de Detecção de Intrusão - IDS Definições Ataques - Probe: acessar um alvo para determinar suas características - Scan: acessar um conjunto de alvos de forma seqüencial, visando identificar a existência de determinadas características em cada um desses alvos - Flood: acessar repetidamente um alvo, causando uma sobrecarga na sua capacidade de operação - Bypass: evitar um processo pelo uso de um método alternativo de acessar determinado alvo - Spoof: disfarçar-se assumindo a aparência de outra entidade

Sistemas de Detecção de Intrusão - IDS Baseados em hosts (exemplo de tipo de arquitetura) Analisam a atividade do sistema através de dados coletados na própria máquina Vantagens: independência de rede detecção de ataques internos reação Desvantagens: dificuldades de instalação e manutenção ataques ao próprio sistema desempenho

Sistemas de Detecção de Intrusão - IDS Erros que podem ocorrer no sistema Falso Positivo. Quando o sistema classifica uma ação como uma possível intrusão quando, na verdade, trata-se de uma ação legítima. Por exemplo, uma carga excessiva de acessos a uma página web pode ser caracterizada indevidamente como um ataque do tipo flood. Falso Negativo. Quando uma intrusão real acontece mas o sistema não é capaz de detectá-la, considerando-a legítima. Subversão. Quando o intruso modifica a operação do sistema para forçar a ocorrência de falsos negativos.

Sistema de Prevenção de Intrusão (IPS) O IPS é um complemento do IDS. Tem a capacidade de: identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos.