Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA EM REDES DE COMPUTADORES Firewall, IDS e IPS 1 SUMÁRIO 1. Firewall 2 1.1. Definição 2 1.2. História 2 1.3. Tipos de Firewall 3 1.3.1. Filtragem de pacotes (packet filtering) 3 1.3.2. Firewall de aplicação (proxy services) 3 1.3.3. Inspeção de estados (stateful inspection) 4 2. Sistema de Detecção de Intrusão - IDS 5 2.1. Definição 5 2.1.1. Potes de Mel (HoneyPots) 5 2.2. Composição e Funcionamento 5 2.3. Tipos de IDS 6 2.3.1. IDS baseado em Rede 6 2.3.2. IDS baseado na Estação (host) 6 2.3.3. IDS baseado em Pilhas 7 2.4. Métodos de Detecção 7 2.4.1. Detecção por assinatura 7 2.4.2. Detecção por anomalia 8 2.4.3. Detecção baseada em especificação 8 3. Sistema de Prevenção de Intrusão - IPS 9 3.1. Terminologia referente à IPS 9 3.1.1. Alertas/Eventos 9 3.1.2. Evasão 9 3.1.3. Fragmentação 9 3.1.4. Assinaturas 9 3.2 Tipos de IPS 10 2 1. Firewall 1.1. Definição Entende-se por Firewall um dispositivo de segurança da rede, podendo ser hardware ou software, que monitora o tráfego de rede de entrada e saída e decide permitir ou bloquear tráfegos específicos de acordo com um conjunto definido de regras de segurança. Traduzindo-se literalmente para o português, temos "parede de fogo", deixando claro que o firewall se enquadra em uma espécie de barreira de defesa. Sua existência consistindo basicamente em bloquear tráfegos de dados indesejados e liberar acessos bem-vindos. 1.2. História No final dos anos 80, fruto da necessidade de criar restrição de acesso entre as redes existentes, com políticas de segurança no conjunto de protocolos TCP/IP. Nesta época a expansão das redes acadêmicas e militares, que culminou com a formação da ARPANET e, posteriormente, a Internet e a popularização dos primeiros computadores tornando-se alvos fáceis para o embrião da comunidade hacker . Devido a casos de invasões de redes e fraudes em sistemas de telefonia começarem a surgir, e foram retratados no filme Jogos de Guerra ("War Games"), de 1983. Em 1988, administradores de rede identificaram o que se tornou a primeira grande infestação de vírus de computador e que ficou conhecido como Internet Worm. Em menos de 24 horas, o worm escrito por Robert T. Morris Jr disseminou-se por todos os sistemas da então existente Internet (formado exclusivamente por redes governamentais e de ensino), provocando um verdadeiro "apagão" na rede. A primeira geração do firewall ou filtro de pacotes, surgiu em 1989 por Jeff Mogul da Digital Equipament Corp (DEC). O modelo tratava-se de um filtro de pacotes responsável pela avaliação de pacotes do conjunto de protocolos TCP/IP. Apesar do principal protocolo de transporte TCP orientar-se a um estado de conexões, o filtro de pacotes não tinha este objetivo inicialmente. Essa tecnologia ainda é adotada em equipamentos de rede para permitir configurações de acesso simples, como nas listas de acesso, no caso ipchains, que foi substituído pelo iptables. No início década de 90, tivemos a segunda geração por Bell Labs da AT&T, através de Steve Bellovin e Bill Cheswick, com o conceito que ficou consolidado como firewall stateful. Em um curto espaço de tempo, surgiu a terceira geração de firewalls, onde foi inicializada a 3 comercialização do DEC SEAL, já contando com recursos mais modernos de proxies de aplicação. Em 1994 a Checkpoint lança o Firewall-1 que teve extrema importância para o amadurecimento e desenvolvimento do mercado de segurança, introduzindo de forma pioneira o conceito de GUI (Graphic User Interface), além de outras tecnologias diretamente relacionadas à segurança. Na segunda metade dos anos 90 surgem diversos projetos em paralelo, como Squid (1996), Snort (1998), que tinham como grande propósito não a comercialização, mas o desenvolvimento e amadurecimento das soluções e conceitos ao longo do tempo. A quarta geração, consolida-se como uma solução comercial para redes de comunicação TCP/IP. A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para ser aplicada também em estações de trabalho e computadores domésticos (o chamado "Firewall Pessoal"), além do surgimento de soluções de firewall dedicado a servidores e aplicações específicas (como servidores Web e banco de dados), ou mesmo usuários. 1.3. Tipos de Firewall 1.3.1. Filtragem de pacotes (packet filtering) Consiste basicamente em uma lista de regras criadas pelo desenvolvedor, que o firewall analisa. Se as informações são compatíveis, então aquele usuário é autorizado. Caso contrário, é negado. São dois os tipos de filtragem de pacotes: ● Estático: os dados são analisados com base nas regras, independentemente da ligação que cada pacote tem com o outro. É uma boa solução, embora possa ocorrer o bloqueio de algumas respostas necessárias devido a conflitos que podem ser criados, já que as regras são estáticas. ● Dinâmico: surgiu para corrigir as limitações dos filtros estáticos. Ele permite a criação de regras que se adaptem ao cenário, possibilitando que os pacotes trafeguem quando necessário e apenas durante o período determinado, corrigindo esse gargalo dos pacotes estáticos. 1.3.2. Firewall de aplicação (proxy services) O firewall de aplicação atua intermediando um computador ou rede interna e outra rede (normalmente a internet). Eles são geralmente instalados em servidores bem potentes, pois 4 lidam com grande número de solicitações. O proxy de serviço é uma boa opção de segurança pois não permite a comunicação direta entre origem e destino, fazendo com que todo o fluxo passe por ele e tornando assim possível o estabelecimento de regras que impedem o acesso de determinados endereços externos. O firewall de aplicação também pode executar tarefas complementares, como: ● Registro de tráfego de dados em arquivo de log; ● Armazenamento de conteúdos muito utilizados em cache; ● Liberação de determinados recursos apenas mediante autenticação do usuário. 1.3.3. Inspeção de estados (stateful inspection) Fazem uma espécie de comparação entre o que está acontecendo e o que espera-se que aconteça, são considerados por alguns como a evolução dos filtros dinâmicos. Analisam todo o tráfego de dados em busca de padrões aceitáveis por suas regras, os quais, inicialmente, serão utilizados para manter a comunicação. E então, estas informações são então mantidas pelo firewall e usadas como parâmetro para o tráfego subsequente. Ou seja, se a transação de dados ocorrer por uma porta não mencionada, o firewall possivelmente detectará isso como uma anormalidade e efetuará o bloqueio do processo. 5 2. Sistema de Detecção de Intrusão - IDS Diariamente nos deparamos com registros de invasões por toda a Internet, sendo necessário existir diversas formas de segurança que evitem invasões, tendo em vista o constante crescimento e dependência dossistemas computacionais nos mais diversos ambientes. O Sistema de Detecção de Intrusão é uma importante ferramenta para auxiliar a na segurança da rede, uma vez que age após a constatação de uma provável invasão. 2.1. Definição Os IDSs, usados no momento em que há evidência da existência de uma intrusão/ataque, auxiliam a segurança de um ambiente de computação em uma rede de computadores, detectando manipulações indesejadas que ocorrem, normalmente, através da Internet. São uma segunda linha de defesa, que detectam vários tipos de comportamentos que podem comprometer a segurança e a confiabilidade de um sistema. 2.1.1. Potes de Mel (HoneyPots) Os Potes de Mel são sistemas usados para enganar hackers expondo vulnerabilidades conhecidas deliberadamente. Assim, pode-se obter informações sobre as atividades do hacker durante o tempo em que ele ficar em torno dessa vulnerabilidade, descobrindo suas ações e técnicas e melhorando a segurança nos servidores. 2.2. Composição e Funcionamento São compostos de diversos componentes: sensores, que geram eventos de segurança; console, para monitorar eventos e alertas e para controlar os sensores; e um mecanismo central que grava os eventos registrados pelo sensor na base de dados e usa um sistema de regras para gerar alertas a partir dos eventos de segurança recebidos. Normalmente, os IDSs analisam arquivos locais e quando detecta-se uma intrusão, alertas são enviados e podem receber dois tipos de resposta: ativa, em que essas respostas são geradas pelo pŕoprio sistema; ou passiva, em que o sistema gera apenas relatórios para que o administrador tome as medidas necessárias. Assim, no processo de detecção de intrusão, identifica-se e responde de maneira preventiva atividades suspeitas. As decisões são baseadas nas coletas de dados realizadas, que incluem desde de entradas pelo teclados a registros de aplicações, e somente são tomadas quando se tem uma 6 quantidade significativa de dados em sua base que confirmam a maliciosidade daquele computador. 2.3. Tipos de IDS 2.3.1. IDS baseado em Rede O IDS baseado em rede, monitora todo o tráfego que passa através da rede, usando técnicas como o packet-sniffing , para pegar dados do TCP/IP ou pacotes de outros protocolos passando sozinhos pela rede, sendo ótimos em detectar tentativas de acesso por fora da rede confiável. Os pacotes são capturados e é feita uma análise em cada um deles para verificar se trata-se de um tráfego normal ou de uma tentativa de ataque. Este tipo de IDS garante uma monitoria em uma grande rede quando bem posicionados e consistem em um conjunto de sensores implantado em diversas partes da rede, monitorando o tráfego, realizando análises e relatando ataques a uma central. Por serem responsáveis pelo monitoramento da rede, os IDS de rede têm a tendência de serem mais distribuídos do que os baseados em estação. Vantagens: Com um bom posicionamento, pode haver poucos IDS instalados para uma grande rede; um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos e não interferem no funcionamento da rede; são difíceis de serem percebidos por atacantes e possuem uma grande segurança contra ataques. Desvantagens: Durante um tráfego intenso, podem falhar em reconhecer um ataque; algumas vantagens não se aplicam em redes mais modernas baseadas em switches ; não conseguem analisar informações criptografadas; grande parte não pode informar se o ataque foi bem sucedido. 2.3.2. IDS baseado na Estação (host) Os IDSs baseados na estação, têm como objetivo monitorar toda a atividade existente em uma estação específica. Funcionam através da coleta e análise de dados originados em uma máquina que hospeda um serviço, que podem ser analisados localmente ou até enviados para uma máquina remota responsável pelo exame. Alguns HIDS possuem a capacidade de interpretar a atividade da rede e detectar ataques em todas as camadas do protocolo, aumentando a sua capacidade de bloqueio a determinados ataques que não seriam notados pelo firewall ou pelo IDS de rede. 7 Vantagens: Conseguem detectar ataques que não podem ser detectados por IDS de Rede; trabalham em ambientes de tráfego criptografado, desde que os dados sejam encriptados na estação antes do envio, ou decriptados nos host após o recebimento; não são afetados por switches. Desvantagens: São difíceis de monitorar, já que em cada estação deve ser instalado e configurado um IDS; podem ser desativados por DoS; recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho; o IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada. 2.3.3. IDS baseado em Pilhas O IDS baseado em pilhas, permite que os pacotes sejam vistos enquanto fazem seu caminho através das camadas OSI, possibilitando ao IDS “puxar” pacotes da pilha antes que o sistema operacional ou a aplicação possam processar os pacotes. Devem observar o tráfego entrando e saindo do sistema, monitorando apenas pacotes de rede destinados apenas para uma simples estação. Assim, o IDS tem baixo overhead suficiente para que todos os sistemas na rede possam rodá-lo. 2.4. Métodos de Detecção 2.4.1. Detecção por assinatura Na detecção por assinatura, as atividades do sistema são analisados em uma busca por correspondência com os padrões (assinaturas) pré-definidos de ataques e atividades maliciosas. São eficientes na detecção, quando comparada com a detecção baseada em anomalias, sem gerar um grande número de alarmes falsos e podem diagnosticar o uso de uma ferramenta ou técnica específica de ataque. Quando sabe-se o comportamento da rede que está tentando identificar, são fáceis de serem desenvolvidas e entendidas. Entretanto, estes detectores somente podem detectar ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se de constante atualização. Além disso, muitos possuem assinaturas muito específicas e não detectam variantes de um mesmo ataque. 8 2.4.2. Detecção por anomalia Detectores baseados em anomalias identificam comportamentos não usuais em um computador ou na rede. Consideram ataques diferentes de atividades normais podendo, assim, serem detectados por sistemas que identificam essas diferenças. Um perfil é construído a partir de dados coletados em um período de operação considerado normal e representa o comportamento normal de usuário, nós e conexões de rede. Os detectores, então, monitoram a rede e usam diversas medidas para determinar quando os dados estão se desviando do perfil. Este tipo de detecção, no entanto, costuma gerar um grande número de alarmes falsos, já que o comportamento dos usuários e sistemas pode variar. Mesmo assim, pode identificar novas formas de ataque e pode produzir saídas que servemde informações para detectores baseados em assinaturas. 2.4.3. Detecção baseada em especificação Nesse tipo de detecção, sua análise pode ser realizada nas camadas abaixo da camada de aplicação da pilha de protocolos da Internet ou no nível de controle do sistema operacional e se restringe à operação correta de um programa ou protocolo, monitorando a execução do programa com respeito à definição estipulada. Essa técnica pode fornecer a descoberta de ataques desconhecidos e apresentam poucos alarmes falsos. No entanto, não é amplamente divulgado por ter uma maior complexidade de desenvolvimento e restringe-se à aplicação que se destinam. Além disso, é considerada um tipo de detecção de baixo nível quando comparada com os outros tipos, necessitando de um maior conhecimento das ações realizadas pelo programa analisado, assim como do sistema operacional e das funções de rede. 9 3. Sistema de Prevenção de Intrusão - IPS O IPS complementa um IDS bloqueando a invasão e impedindo um dano maior para a rede. É uma ferramenta que detecta e bloqueia o invasor. Uma boa forma de se obter segurança em uma rede é fazer a prevenção de invasões. Porém, para a instalação de um IPS deve-se levar em conta que temos um sistema limpo, ou seja, não esteja comprometido e deve-se possuir um conhecimento amplo do estado do sistema para que não se tenha problema posterior. Para que o administrador da rede possa tomar alguma atitude quanto a uma invasão, deve-se obter informações no momento exato da invasão. A partir da detecção, um IPS executará ações para interromper o ataque e evitar ataques futuros. Essas ações podem ser desde o cancelamento de uma conexão até uma reconfiguração do firewall para interromper o ataque. 3.1. Terminologia referente à IPS 3.1.1. Alertas/Eventos É um aviso gerado pelo IDS quando este detecta determinada invasão. Este alerta pode ser dado tanto local quanto remotamente. 3.1.2. Evasão É um ataque ao IDS sem ser detectado, é uma maneira que se encontra de ludibriar o sistema. 3.1.3. Fragmentação Fragmentação é uma maneira de dividir os pacotes de tal forma que não ultrapasse o limite da rede. A fragmentação é utilizada para a evasão ou também em ataques de negação de serviço. 3.1.4. Assinaturas Assinaturas são ataques conhecidos. Através das assinaturas ou regras pode-se gerar os alertas para atividades suspeitas. É feita comparação dos dados com as assinaturas e aí são gerados os alertas 10 3.2 Tipos de IPS Existem dois tipos de sistemas de prevenção de intrusos que essa pesquisa conseguiu encontrar: Host-Based (Baseados em host): Os sistemas baseados em host são programas de prevenção de intrusos para serem instalados diretamente em computadores; InLine (Em linha): É todo dispositivo de hardware ou software habilitado a detectar e impedir ataques maliciosos, verificando anomalias. 11 BIBLIOGRAFIA BRODBECK, Cassio. Firewall: Historia. Disponível em: <<https://ostec.blog/seguranca-perimetro/firewall>. Acesso em: 15 dez. 2018. ALECRIM, Emerson. O que é firewall? - Conceito, tipos e arquiteturas. 2013. Disponível em: < https://www.infowester.com/firewall.php>. Acesso em: 15 dez. 2018. PEREZ, Tony. Diferenças entre Firewalls de Segurança. 2016. Disponível em: <https://blog.sucuri.net/portugues/2016/04/diferencas-entre-firewalls-de-seguranca.html>. Acesso em: 15 dez. 2018. O que é um firewall?. CISCO. Disponível em: <https://ostec.blog/seguranca-perimetro/firewall-definicao>. Acesso em: 16 dez. 2018. Quais os tipos de firewall e suas diferenças?. Starti. 2015. Disponível em: <http://www.starti.com.br/blog/quais-os-tipos-de-firewal-e-suas-diferencas/>. Acesso em: 16 dez. 2018. BRODBECK, Cassio. Firewall definição: Aprimore seus conhecimentos sobre segurança. Disponível em: <https://ostec.blog/seguranca-perimetro/firewall-definicao>. Acesso em: 17 dez. 2018. REHMAN, Rafeeq Ur. Intrusion Detection Systems with Snort: Avanced IDS Techniques using Snort, Apache, MySQL, PHP, and ACID. Prentice Hall PTR, New Jersey, USA, 2003. INNELLA, Paul. An Introduction do IDS. 2011. Disponível em: <https://www.symantec.com/connect/articles/introduction-ids >. Acesso em: 17 dez. 2018. AMORIM, Marcelo; MAESTRELLI, Marita. Sistemas de Detecção de Intrusos. CAT Informática, CBPF-NT-009/04. 12 O que é um Sistema de Detecção de Intrusos. Portal GSTI. disponível em: <https://www.portalgsti.com.br/sistema-prevencao-intrusos/sobre/>. Acesso em: 17 dez. 2018 INNELLA, Paul. The Evolution of Intrusion Detection Systems. 2011. Disponível em: <https://www.symantec.com/connect/articles/evolution-intrusion-detection-systems>. Acesso em: 18 dez. 2018. Sistema de Detecção de Intrusão. Devmedia. Disponível em: <https://www.devmedia.com.br/sistema-de-deteccao-de-intrusao-artigo-revista-infra-magazin e-1/20819>. Acesso em: 18 dez. 2018. O que é um Sistema de Prevenção de Intrusão. Ogasec. Disponível em: <https://www.aker.com.br/novidades/noticias/o-que-e-um-sistema-de-prevencao-de-intrusao-i ps/>. Acesso em: 18 dez. 2018.
Compartilhar