SEGURANÇA EM REDES DE COMPUTADORES

Prévia do material em texto

SEGURANÇA EM REDES DE COMPUTADORES 
Firewall, IDS e IPS 
 
 
 
 
 
 
 
 
 
 
 
 
1 
SUMÁRIO 
 
1. Firewall 2 
1.1. Definição 2 
1.2. História 2 
1.3. Tipos de Firewall 3 
1.3.1. Filtragem de pacotes (packet filtering) 3 
1.3.2. Firewall de aplicação (proxy services) 3 
1.3.3. Inspeção de estados (stateful inspection) 4 
2. Sistema de Detecção de Intrusão - IDS 5 
2.1. Definição 5 
2.1.1. Potes de Mel (HoneyPots) 5 
2.2. Composição e Funcionamento 5 
2.3. Tipos de IDS 6 
2.3.1. IDS baseado em Rede 6 
2.3.2. IDS baseado na Estação (host) 6 
2.3.3. IDS baseado em Pilhas 7 
2.4. Métodos de Detecção 7 
2.4.1. Detecção por assinatura 7 
2.4.2. Detecção por anomalia 8 
2.4.3. Detecção baseada em especificação 8 
3. Sistema de Prevenção de Intrusão - IPS 9 
3.1. Terminologia referente à IPS 9 
3.1.1. Alertas/Eventos 9 
3.1.2. Evasão 9 
3.1.3. Fragmentação 9 
3.1.4. Assinaturas 9 
3.2 Tipos de IPS 10 
 
 
2 
1. Firewall 
1.1. Definição 
Entende-se por ​Firewall um dispositivo de segurança da rede, podendo ser ​hardware ou 
software​, que monitora o tráfego de rede de entrada e saída e decide permitir ou bloquear 
tráfegos específicos de acordo com um conjunto definido de regras de segurança. 
Traduzindo-se literalmente para o português, temos "parede de fogo", deixando claro que o 
firewall se enquadra em uma espécie de barreira de defesa. Sua existência consistindo 
basicamente em bloquear tráfegos de dados indesejados e liberar acessos bem-vindos. 
 
1.2. História 
No final dos anos 80, fruto da necessidade de criar restrição de acesso entre as redes 
existentes, com políticas de segurança no conjunto de protocolos TCP/IP. Nesta época a 
expansão das redes acadêmicas e militares, que culminou com a formação da ARPANET e, 
posteriormente, a ​Internet e a popularização dos primeiros computadores tornando-se alvos 
fáceis para o embrião da comunidade ​hacker ​. 
Devido a casos de invasões de redes e fraudes em sistemas de telefonia começarem a 
surgir, e foram retratados no filme Jogos de Guerra ("​War ​Games​"), de 1983. Em 1988, 
administradores de rede identificaram o que se tornou a primeira grande infestação de vírus de 
computador e que ficou conhecido como ​Internet Worm​. Em menos de 24 horas, o ​worm 
escrito por Robert T. Morris Jr disseminou-se por todos os sistemas da então existente 
Internet (formado exclusivamente por redes governamentais e de ensino), provocando um 
verdadeiro "apagão" na rede. 
A primeira geração do ​firewall ou filtro de pacotes, surgiu em 1989 por Jeff Mogul da 
Digital Equipament Corp (DEC). O modelo tratava-se de um filtro de pacotes responsável 
pela avaliação de pacotes do conjunto de protocolos TCP/IP. Apesar do principal protocolo de 
transporte TCP orientar-se a um estado de conexões, o filtro de pacotes não tinha este objetivo 
inicialmente. Essa tecnologia ainda é adotada em equipamentos de rede para permitir 
configurações de acesso simples, como nas listas de acesso, no caso ​ipchains​, que foi 
substituído pelo ​iptables​. 
No início década de 90, tivemos a segunda geração por Bell Labs da AT&T, através de 
Steve Bellovin e Bill Cheswick, com o conceito que ficou consolidado como ​firewall stateful​. 
Em um curto espaço de tempo, surgiu a terceira geração de ​firewalls​, onde foi inicializada a 
3 
comercialização do DEC SEAL, já contando com recursos mais modernos de ​proxies de 
aplicação. 
Em 1994 a Checkpoint lança o ​Firewall-1 que teve extrema importância para o 
amadurecimento e desenvolvimento do mercado de segurança, introduzindo de forma pioneira 
o conceito de GUI (​Graphic User Interface​), além de outras tecnologias diretamente 
relacionadas à segurança. Na segunda metade dos anos 90 surgem diversos projetos em 
paralelo, como ​Squid (1996), ​Snort (1998), que tinham como grande propósito não a 
comercialização, mas o desenvolvimento e amadurecimento das soluções e conceitos ao longo 
do tempo. 
A quarta geração, consolida-se como uma solução comercial para redes de comunicação 
TCP/IP. A partir do início dos anos 2000, a tecnologia de ​Firewall foi aperfeiçoada para ser 
aplicada também em estações de trabalho e computadores domésticos (o chamado "​Firewall 
Pessoal"), além do surgimento de soluções de ​firewall dedicado a servidores e aplicações 
específicas (como servidores ​Web​ e banco de dados), ou mesmo usuários. 
 
1.3. Tipos de Firewall 
1.3.1. Filtragem de pacotes (​packet filtering​) 
Consiste basicamente em uma lista de regras criadas pelo desenvolvedor, que o firewall 
analisa. Se as informações são compatíveis, então aquele usuário é autorizado. Caso contrário, 
é negado. São dois os tipos de filtragem de pacotes: 
● Estático: os dados são analisados com base nas regras, independentemente da ligação 
que cada pacote tem com o outro. É uma boa solução, embora possa ocorrer o bloqueio de 
algumas respostas necessárias devido a conflitos que podem ser criados, já que as regras são 
estáticas. 
● Dinâmico: surgiu para corrigir as limitações dos filtros estáticos. Ele permite a 
criação de regras que se adaptem ao cenário, possibilitando que os pacotes trafeguem quando 
necessário e apenas durante o período determinado, corrigindo esse gargalo dos pacotes 
estáticos. 
 
1.3.2. Firewall de aplicação (​proxy services​) 
O firewall de aplicação atua intermediando um computador ou rede interna e outra rede 
(normalmente a internet). Eles são geralmente instalados em servidores bem potentes, pois 
4 
lidam com grande número de solicitações. O proxy de serviço é uma boa opção de segurança 
pois não permite a comunicação direta entre origem e destino, fazendo com que todo o fluxo 
passe por ele e tornando assim possível o estabelecimento de regras que impedem o acesso de 
determinados endereços externos. 
O firewall de aplicação também pode executar tarefas complementares, como: 
● Registro de tráfego de dados em arquivo de ​log​; 
● Armazenamento de conteúdos muito utilizados em ​cache​; 
● Liberação de determinados recursos apenas mediante autenticação do usuário. 
 
1.3.3. Inspeção de estados (stateful inspection) 
Fazem uma espécie de comparação entre o que está acontecendo e o que espera-se que 
aconteça, são considerados por alguns como a evolução dos filtros dinâmicos. Analisam todo 
o tráfego de dados em busca de padrões aceitáveis por suas regras, os quais, inicialmente, 
serão utilizados para manter a comunicação. E então, estas informações são então mantidas 
pelo firewall e usadas como parâmetro para o tráfego subsequente. Ou seja, se a transação de 
dados ocorrer por uma porta não mencionada, o firewall possivelmente detectará isso como 
uma anormalidade e efetuará o bloqueio do processo. 
 
 
5 
2. Sistema de Detecção de Intrusão - IDS 
Diariamente nos deparamos com registros de invasões por toda a ​Internet​, sendo 
necessário existir diversas formas de segurança que evitem invasões, tendo em vista o 
constante crescimento e dependência dossistemas computacionais nos mais diversos 
ambientes. O Sistema de Detecção de Intrusão é uma importante ferramenta para auxiliar a na 
segurança da rede, uma vez que age após a constatação de uma provável invasão. 
 
2.1. Definição 
Os IDSs, usados no momento em que há evidência da existência de uma 
intrusão/ataque, auxiliam a segurança de um ambiente de computação em uma rede de 
computadores, detectando manipulações indesejadas que ocorrem, normalmente, através da 
Internet​. São uma segunda linha de defesa, que detectam vários tipos de comportamentos que 
podem comprometer a segurança e a confiabilidade de um sistema. 
 
2.1.1. Potes de Mel (​HoneyPots​) 
Os Potes de Mel são sistemas usados para enganar ​hackers expondo vulnerabilidades 
conhecidas deliberadamente. Assim, pode-se obter informações sobre as atividades do ​hacker 
durante o tempo em que ele ficar em torno dessa vulnerabilidade, descobrindo suas ações e 
técnicas e melhorando a segurança nos servidores. 
 
2.2. Composição e Funcionamento 
São compostos de diversos componentes: sensores, que geram eventos de segurança; 
console, para monitorar eventos e alertas e para controlar os sensores; e um mecanismo 
central que grava os eventos registrados pelo sensor na base de dados e usa um sistema de 
regras para gerar alertas a partir dos eventos de segurança recebidos. 
Normalmente, os IDSs analisam arquivos locais e quando detecta-se uma intrusão, 
alertas são enviados e podem receber dois tipos de resposta: ativa, em que essas respostas são 
geradas pelo pŕoprio sistema; ou passiva, em que o sistema gera apenas relatórios para que o 
administrador tome as medidas necessárias. Assim, no processo de detecção de intrusão, 
identifica-se e responde de maneira preventiva atividades suspeitas. 
As decisões são baseadas nas coletas de dados realizadas, que incluem desde de 
entradas pelo teclados a registros de aplicações, e somente são tomadas quando se tem uma 
6 
quantidade significativa de dados em sua base que confirmam a maliciosidade daquele 
computador. 
 
2.3. Tipos de IDS 
2.3.1. IDS baseado em Rede 
O IDS baseado em rede, monitora todo o tráfego que passa através da rede, usando 
técnicas como o ​packet-sniffing ​, para pegar dados do TCP/IP ou pacotes de outros protocolos 
passando sozinhos pela rede, sendo ótimos em detectar tentativas de acesso por fora da rede 
confiável. 
Os pacotes são capturados e é feita uma análise em cada um deles para verificar se 
trata-se de um tráfego normal ou de uma tentativa de ataque. Este tipo de IDS garante uma 
monitoria em uma grande rede quando bem posicionados e consistem em um conjunto de 
sensores implantado em diversas partes da rede, monitorando o tráfego, realizando análises e 
relatando ataques a uma central. Por serem responsáveis pelo monitoramento da rede, os IDS 
de rede têm a tendência de serem mais distribuídos do que os baseados em estação. 
Vantagens: Com um bom posicionamento, pode haver poucos IDS instalados para uma 
grande rede; um pequeno impacto é provocado na rede com a instalação desses IDS, pois são 
passivos e não interferem no funcionamento da rede; são difíceis de serem percebidos por 
atacantes e possuem uma grande segurança contra ataques. 
Desvantagens: Durante um tráfego intenso, podem falhar em reconhecer um ataque; 
algumas vantagens não se aplicam em redes mais modernas baseadas em ​switches ​; não 
conseguem analisar informações criptografadas; grande parte não pode informar se o ataque 
foi bem sucedido. 
 
2.3.2. IDS baseado na Estação (​host​) 
Os IDSs baseados na estação, têm como objetivo monitorar toda a atividade existente 
em uma estação específica. Funcionam através da coleta e análise de dados originados em 
uma máquina que hospeda um serviço, que podem ser analisados localmente ou até enviados 
para uma máquina remota responsável pelo exame. 
Alguns HIDS possuem a capacidade de interpretar a atividade da rede e detectar ataques 
em todas as camadas do protocolo, aumentando a sua capacidade de bloqueio a determinados 
ataques que não seriam notados pelo ​firewall​ ou pelo IDS de rede. 
7 
Vantagens: Conseguem detectar ataques que não podem ser detectados por IDS de 
Rede; trabalham em ambientes de tráfego criptografado, desde que os dados sejam 
encriptados na estação antes do envio, ou decriptados nos host após o recebimento; não são 
afetados por ​switches​. 
Desvantagens: São difíceis de monitorar, já que em cada estação deve ser instalado e 
configurado um IDS; podem ser desativados por DoS; recursos computacionais são 
consumidos nas estações monitoradas, com diminuição do desempenho; o IDS pode ser 
atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação 
monitorada. 
 
2.3.3. IDS baseado em Pilhas 
O IDS baseado em pilhas, permite que os pacotes sejam vistos enquanto fazem seu 
caminho através das camadas OSI, possibilitando ao IDS “puxar” pacotes da pilha antes que o 
sistema operacional ou a aplicação possam processar os pacotes. Devem observar o tráfego 
entrando e saindo do sistema, monitorando apenas pacotes de rede destinados apenas para 
uma simples estação. Assim, o IDS tem baixo overhead suficiente para que todos os sistemas 
na rede possam rodá-lo. 
 
2.4. Métodos de Detecção 
2.4.1. Detecção por assinatura 
Na detecção por assinatura, as atividades do sistema são analisados em uma busca por 
correspondência com os padrões (assinaturas) pré-definidos de ataques e atividades 
maliciosas. São eficientes na detecção, quando comparada com a detecção baseada em 
anomalias, sem gerar um grande número de alarmes falsos e podem diagnosticar o uso de uma 
ferramenta ou técnica específica de ataque. Quando sabe-se o comportamento da rede que está 
tentando identificar, são fáceis de serem desenvolvidas e entendidas. 
Entretanto, estes detectores somente podem detectar ataques conhecidos, ou seja, que 
estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se de constante 
atualização. Além disso, muitos possuem assinaturas muito específicas e não detectam 
variantes de um mesmo ataque. 
 
8 
2.4.2. Detecção por anomalia 
Detectores baseados em anomalias identificam comportamentos não usuais em um 
computador ou na rede. Consideram ataques diferentes de atividades normais podendo, assim, 
serem detectados por sistemas que identificam essas diferenças. 
Um perfil é construído a partir de dados coletados em um período de operação 
considerado normal e representa o comportamento normal de usuário, nós e conexões de rede. 
Os detectores, então, monitoram a rede e usam diversas medidas para determinar quando os 
dados estão se desviando do perfil. 
Este tipo de detecção, no entanto, costuma gerar um grande número de alarmes falsos, 
já que o comportamento dos usuários e sistemas pode variar. Mesmo assim, pode identificar 
novas formas de ataque e pode produzir saídas que servemde informações para detectores 
baseados em assinaturas. 
 
2.4.3. Detecção baseada em especificação 
Nesse tipo de detecção, sua análise pode ser realizada nas camadas abaixo da camada de 
aplicação da pilha de protocolos da Internet ou no nível de controle do sistema operacional e 
se restringe à operação correta de um programa ou protocolo, monitorando a execução do 
programa com respeito à definição estipulada. 
Essa técnica pode fornecer a descoberta de ataques desconhecidos e apresentam poucos 
alarmes falsos. No entanto, não é amplamente divulgado por ter uma maior complexidade de 
desenvolvimento e restringe-se à aplicação que se destinam. Além disso, é considerada um 
tipo de detecção de baixo nível quando comparada com os outros tipos, necessitando de um 
maior conhecimento das ações realizadas pelo programa analisado, assim como do sistema 
operacional e das funções de rede. 
9 
3. Sistema de Prevenção de Intrusão - IPS 
O IPS complementa um IDS bloqueando a invasão e impedindo um dano maior para a 
rede. É uma ferramenta que detecta e bloqueia o invasor. 
Uma boa forma de se obter segurança em uma rede é fazer a prevenção de invasões. 
Porém, para a instalação de um IPS deve-se levar em conta que temos um sistema limpo, ou 
seja, não esteja comprometido e deve-se possuir um conhecimento amplo do estado do 
sistema para que não se tenha problema posterior. 
Para que o administrador da rede possa tomar alguma atitude quanto a uma invasão, 
deve-se obter informações no momento exato da invasão. A partir da detecção, um IPS 
executará ações para interromper o ataque e evitar ataques futuros. Essas ações podem ser 
desde o cancelamento de uma conexão até uma reconfiguração do firewall para interromper o 
ataque. 
 
3.1. Terminologia referente à IPS 
3.1.1. Alertas/Eventos 
É um aviso gerado pelo IDS quando este detecta determinada invasão. Este alerta pode 
ser dado tanto local quanto remotamente. 
 
3.1.2. Evasão 
É um ataque ao IDS sem ser detectado, é uma maneira que se encontra de ludibriar o 
sistema. 
 
3.1.3. Fragmentação 
Fragmentação é uma maneira de dividir os pacotes de tal forma que não ultrapasse o 
limite da rede. A fragmentação é utilizada para a evasão ou também em ataques de negação de 
serviço. 
 
3.1.4. Assinaturas 
Assinaturas são ataques conhecidos. Através das assinaturas ou regras pode-se gerar os 
alertas para atividades suspeitas. É feita comparação dos dados com as assinaturas e aí são 
gerados os alertas 
 
10 
3.2 Tipos de IPS 
Existem dois tipos de sistemas de prevenção de intrusos que essa pesquisa conseguiu 
encontrar: 
Host-Based (Baseados em host): Os sistemas baseados em host são programas de 
prevenção de intrusos para serem instalados diretamente em computadores; InLine (Em 
linha): É todo dispositivo de hardware ou software habilitado a detectar e impedir ataques 
maliciosos, verificando anomalias. 
 
11 
BIBLIOGRAFIA 
BRODBECK, Cassio. Firewall: Historia. Disponível em: 
<<​https://ostec.blog/seguranca-perimetro/firewall​>. Acesso em: 15 dez. 2018. 
 
ALECRIM, Emerson. O que é firewall? - Conceito, tipos e arquiteturas. 2013. 
Disponível em: < ​https://www.infowester.com/firewall.php​>. Acesso em: 15 dez. 2018. 
 
PEREZ, Tony. Diferenças entre Firewalls de Segurança. 2016. Disponível em: 
<​https://blog.sucuri.net/portugues/2016/04/diferencas-entre-firewalls-de-seguranca.html​>. 
Acesso em: 15 dez. 2018. 
 
O que é um firewall?. CISCO. Disponível em: 
<​https://ostec.blog/seguranca-perimetro/firewall-definicao​>. Acesso em: 16 dez. 2018. 
 
Quais os tipos de firewall e suas diferenças?. Starti. 2015. Disponível em: 
<​http://www.starti.com.br/blog/quais-os-tipos-de-firewal-e-suas-diferencas/​>. Acesso em: 16 
dez. 2018. 
 
BRODBECK, Cassio. Firewall definição: Aprimore seus conhecimentos sobre 
segurança. Disponível em: <​https://ostec.blog/seguranca-perimetro/firewall-definicao​>. 
Acesso em: 17 dez. 2018. 
 
REHMAN, Rafeeq Ur. Intrusion Detection Systems with Snort: Avanced IDS 
Techniques using Snort, Apache, MySQL, PHP, and ACID. Prentice Hall PTR, New Jersey, 
USA, 2003. 
 
INNELLA, Paul. An Introduction do IDS. 2011. Disponível em: 
<​https://www.symantec.com/connect/articles/introduction-ids ​>. Acesso em: 17 dez. 2018. 
 
AMORIM, Marcelo; MAESTRELLI, Marita. Sistemas de Detecção de Intrusos. CAT 
Informática, CBPF-NT-009/04. 
 
12 
O que é um Sistema de Detecção de Intrusos. Portal GSTI. disponível em: 
<​https://www.portalgsti.com.br/sistema-prevencao-intrusos/sobre/​>. Acesso em: 17 dez. 2018 
 
INNELLA, Paul. The Evolution of Intrusion Detection Systems. 2011. Disponível em: 
<​https://www.symantec.com/connect/articles/evolution-intrusion-detection-systems​>. Acesso 
em: 18 dez. 2018. 
 
Sistema de Detecção de Intrusão. Devmedia. Disponível em: 
<​https://www.devmedia.com.br/sistema-de-deteccao-de-intrusao-artigo-revista-infra-magazin
e-1/20819​>. Acesso em: 18 dez. 2018. 
 
O que é um Sistema de Prevenção de Intrusão. Ogasec. Disponível em: 
<​https://www.aker.com.br/novidades/noticias/o-que-e-um-sistema-de-prevencao-de-intrusao-i
ps/​>. Acesso em: 18 dez. 2018.