A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança de Rede Prof. Sales Filho Implantação de segurança Perimetral.

PublicouMarco Gentil Beretta Alterado mais de 8 anos atrás

Apresentações semelhantes

Apresentação em tema: "Segurança de Rede Prof. Sales Filho Implantação de segurança Perimetral."— Transcrição da apresentação:

1 Segurança de Rede Prof. Sales Filho Implantação de segurança Perimetral

2 2 Objetivos Apresentar as arquiteturas de segurança perimetral tradicionais DMZ simples, um única nível de segurança DMZ e vários níveis de segurança Apresentar o conceito de Bastion Hosts Cuidados e formas de implantação Discutir os cuidados que devem ser tomados na disponibilização de serviços na DMZ

3 3 Introdução Neste bloco, veremos como implantar arquiteturas de segurança mais sofisticadas Os conceitos aprendidos anteriormente serão importantes nessa fase de estudos Segurança Perimetral Conceito de segurança em profundidade Após o estudo de algumas arquiteturas possíveis, faremos sobre geração e análise de registros (Logs)

4 DMZ 1 DMZ 2 4 Arquiteturas de segurança Máquina de filtragem com várias interfaces Rede Externa Rede interna Rede da operadora INTERNET

5 DMZ 1 DMZ 2 5 Arquiteturas de segurança Vários níveis de firewall Rede Externa Rede interna Roteador com triagem

6 6 Arquiteturas de segurança NAT Pode ser utilizada em todas as topologias anteriores Garante que máquinas externas não serão capazes de iniciar conexões com máquinas internas Esconde a topologia da rede interna Máquinas internas usam endereços privados O processo de tradução de endereços permite que máquinas internas iniciem conexão com máquinas externas Ajuda a ‘poupar’ endereços públicos

7 7 Serviços em Bastion Hosts Bastion hosts São hosts preparados considerando aspectos de segurança Visa eliminar as vulnerabilidades básicas Aplicação de patches/correções Remoção de ferramentas de compilação Remoção de usuários desnecessários Remoção de ferramentas desnecessárias Instalação de softwares que impeçam/detectem invasão IDS/HIDS Antivirus Implementam/compõe o conceito de segurança em profundidade Podem ser utilizados para proteger serviços na DMZ ou rede Interna Podem funcionar como agentes proxy Existem produtos comerciais que implementam esses conceitos

8 8 Serviços em Bastion Hosts Bastion hosts Máquinas com hardwares mais poderosos podem ser adequados para servidores onde a expectativa de acessos e requisições seja maior Em alguns casos, há necessidade de utilização de um esquema de load balance e/ou mecanismo de alta disponibilidade Load balance e/ou alta disponibilidade de serviços podem ser feitos por software ou por hardware

9 9 Serviços em Bastion Hosts DNS e SMTP Não precisam de um software especial ou suporte do sistema operacional para redundância (tolerância a falhas) Usam resource records (RRs) para implementar a tolerância a falhas Precisam de um software/hardware adicional para balanceamento de carga (load balance)

10 10 Serviços em Bastion Hosts Fatores para distribuição de serviços em Bastion Hosts Necessidade de alta disponibilidade e/ou tolerância a falha Restrições orçamentárias Questões de segurança Serviços a serem disponibilizados na DMZ Agentes proxy necessários Desempenho

11 11 Disponibilizando serviços na DMZ Arquitetura de alta disponibilidade Rede Externa Rede Interna Cluster http://www.linux-ha.org/

12 12 Domain Name System (DNS) Pode revelar informações importantes para o atacante Rede Externa DNSWWWMAIL DNS DB DMZ LAN

13 13 Arquiteturas de segurança Roteador configurado com ACL para filtrar pacotes Internet Roteador Switch Características Baixo custo Implementação simples Útil para redes muito pequenas Desvantagens Único ponto de tratamento de tráfego Não há possibilidade de criação de perímetro

14 14 Arquiteturas de segurança Screened subnet Internet Roteador Switch Duas camadas Switch LAN Rede perimétrica

15 15 Arquiteturas de segurança Screened subnet Internet Roteador COM ACL Switch Três camadas Switch LAN Rede perimétrica IP público NAT IP privado

16 16 PAUSA Pausa para o Firewall Builder (ele merece) http://www.fwbuilder.org/ MAC WINDOWS LINUX (Free)

17 17 Port Knocking Conceito Método utilizado para, a partir de uma sequência específica de pacotes, executar uma regra prédefinada no firewall para possibilitar a realização de uma conexão que até então estaria fechada Normalmente um administrador utiliza esse recurso para portas de serviço de login remoto, como o SSH

18 18 Port Knocking HPING hping -p 7000 –c 1 --syn 10.0.0.1 hping -p 8000 –c 1 --syn 10.0.0.1 hping -p 9000 –c 1 --syn 10.0.0.1 Ativando a porta com HPING

19 19 PAUSA Pausa para o Knockd ~# apt-get install knockd ~# vi /etc/default/knockd (Ative a inicialização) ~# vi /etc/knockd.conf (Configure as sequencias)

20 20 Logs de segurança Todas as soluções de segurança apresentadas até aqui visam minimizar os riscos Todas as tecnologias apresentadas possuem recursos de logs Esse monitoramento é ESSENCIAL possíveis pontos a serem melhorados e aprimorar a política de segurança local

21 21 Logs de segurança Um dos primeiros passos realizados por um atacante ou rootkit é apagar ou modificar o conteúdo dos logs de segurança, eliminando seus rastros Uma regra é acreditar que os logs de segurança de uma máquina comprometida são, no mínimo, suspeitos

22 22 Logs de segurança Problemas Os logs ficam distribuídos pela rede Ficam armazenados localmente nas diferentes máquinas Logs de máquinas comprometidas podem não ser íntegros Detecção e resposta a incidentes são mais difíceis Dificulta a correlação entre sistemas diferentes A tarefa de investigação forense é bastante complexa

23 23 Logs de segurança Soluções Todas as máquinas e componentes de firewall podem transferir seus logs para um servidor local É recomendado que o servidor de log fique localizado na rede local protegida Os logs devem ser armazenados em alguma mídia read-only

24 24 Sincronismo de tempo Todas as máquinas devem utilizar a mesma referência de tempo para que os eventos sejam registrados com hora e data corretos Importante para correlação de eventos de segurança Vital para reconstrução cronológica de todas as atividades realizadas por um atacante O protocolo mais utilizado para esse fim é o Network Time Protocol (NTP)

25 25 Sincronismo de tempo NTP permite que todos os relógios de uma rede fiquem sincronizados com grande exatidão O hardware de equipamento de rede e servidores precisa ser sincronizado de tempos em tempos Servidores NTP comunicam-se uns com os outros em uma hierarquia, distribuindo informações de clock através da rede Quanto mais próximo de um sistema de referência de clock (um relógio atômico ou receptor de GPS), mais alto é o lugar do servidor NTP na hierarquia

26 26 Sincronismo de tempo Uma rede deve implantar um servidor NTP, obtendo referência de tempo de algum outro servidor NTP, em um nível mais alto da hierarquia Este servidor NTP local será responsável por sincronizar todas as máquinas/componentes de rede Correlação de eventos: Relacionar logs de ataques sofridos pelo host, que passou pelo firewall, que vieram de um provedor...

27 Bibliografias [Stallings 2008] Stallings, William. Criptografia e segurança de redes, 4. Ed. São Paulo: Pearson Prentice Hall, 2008. [Minasi 2003] Minasi, Mark et al. Dominando o Windows Server 2003 - a bíblia. Pearson, 2003. [ESR] Segurança de Redes e Sistemas http://www.eriberto.pro.br/iptables/

Carregar ppt "Segurança de Rede Prof. Sales Filho Implantação de segurança Perimetral."

Apresentações semelhantes

Segurança Perimetral - Firewall

Segurança Perimetral - Firewall
Segurança da Informação

Segurança da Informação
Rafael C. Marques Orientador - André Moraes TCC 11/09/12 SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS.

Rafael C. Marques Orientador - André Moraes TCC 11/09/12 SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS.
Segurança de Rede Prof. Sales Filho Introdução (Parte 2)

Segurança de Rede Prof. Sales Filho Introdução (Parte 2)
Acesso remoto a computadores. 2 Grupo André B. OliveiraRA: 01071489 César H. KallasRA: 02099224 Marcelo G. HyppolitoRA: 01035690 Rafael B. CuriRA: 02135473.

Acesso remoto a computadores. 2 Grupo André B. OliveiraRA: César H. KallasRA: Marcelo G. HyppolitoRA: Rafael B. CuriRA:
Análise Desenvolvimento/Testes Entrega Suporte. Nome da atividade Análise de Negócio Fase Análise Finalidade Esta atividade tem por finalidade analisar.

Análise Desenvolvimento/Testes Entrega Suporte. Nome da atividade Análise de Negócio Fase Análise Finalidade Esta atividade tem por finalidade analisar.
David de moraes junior Márcia batista souza. ARQUITETURAS PROPRIETÁRIAS Apenas um fabricante lança produtos compatíveis com a sua própria arquitetura.

David de moraes junior Márcia batista souza. ARQUITETURAS PROPRIETÁRIAS Apenas um fabricante lança produtos compatíveis com a sua própria arquitetura.
Serviço de Protocolação Digital de Documentos Eletrônicos Acadêmico: Recígio Poffo Orientador: Paulo Fernando da Silva.

Serviço de Protocolação Digital de Documentos Eletrônicos Acadêmico: Recígio Poffo Orientador: Paulo Fernando da Silva.
Acessos e Privilégios. Privilégios  O gerenciamento de usuários e seus respectivos privilégios aos objetos do banco de dados, dependendo do número de.

Acessos e Privilégios. Privilégios  O gerenciamento de usuários e seus respectivos privilégios aos objetos do banco de dados, dependendo do número de.
Administração e serviços de redes

Administração e serviços de redes
Voz Avançada B2B VIVO SIP.

Voz Avançada B2B VIVO SIP.
IPv6 vs IPv4 Quais as diferenças?

IPv6 vs IPv4 Quais as diferenças?
João Paulo Brognoni Casati

João Paulo Brognoni Casati
“Modelo de Camadas OSI e TCP/IP ” Nataniel Vieira

“Modelo de Camadas OSI e TCP/IP ” Nataniel Vieira
Introdução e Conceitos.

Introdução e Conceitos.
Sistemas Operacionais de Rede

Sistemas Operacionais de Rede
Contratação de pessoal; Direito autoral; Outras providências legais

Contratação de pessoal; Direito autoral; Outras providências legais
Diagrama de Sequencia Prof. Thales Castro.

Diagrama de Sequencia Prof. Thales Castro.
Acadêmico: Jair de Souza Junior

Acadêmico: Jair de Souza Junior
Faculdade de Tecnologia SENAC Pelotas

Faculdade de Tecnologia SENAC Pelotas

Apresentações semelhantes

Anúncios Google