Prévia do material em texto
Prof. Ricardo Sewaybriker UNIDADE V Segurança Física e Lógica As preocupações com a segurança da rede devem abranger os problemas de autenticação de usuários e equipamentos e de restrição de acesso dos usuários aos serviços autorizados, contemplando o estabelecimento de interfaces seguras entre a rede interna e as redes públicas ou de outras organizações (BEAL, 2008, p.93). 5. Dispositivos de Segurança para Redes Os elementos básicos para proteção de rede incluem dispositivos como roteadores de borda, firewalls, NAT (Network Address Translation), VPN (Redes Virtuais Privadas), Bastion Host, Perímetro lógico, IDS (Intrusion Detection System), IPS (Intrusion Prevention System) e Políticas de Segurança 5. Dispositivos de Segurança para Redes Fonte: Livro texto O rotador de borda é o último gateway (interconectam redes diferentes) que conecta a rede interna da empresa à Internet. Segundo Ramos (2008), é a primeira linha de defesa da empresa contra ameaças externas, elemento fundamental para a composição de diversos sistemas de firewall. Porém, é muito comum também que não seja utilizado para funções de segurança por dois simples motivos: o primeiro é devido ao fato de que, muitas vezes, este roteador não pertence à organização, e sim às empresas que proveem a conexão com a Internet. 5.1. Roteador de Borda e NAT (Network Address Translation) E o segundo motivo diz respeito à dificuldade de configuração, normalmente feita via linha de comando, o que faz com que muitos administradores, por questão de praticidade, abram mão de utilizar este recurso fundamental. Também conhecido como roteador que permite criar controle de acesso, como roteador, desempenha papel de filtro, gerando as listas de acesso ou ACLs, muitas vezes classificando a designação do roteador, toma a atuação de roteador de perímetro como a primeira camada de firewall. 5.1. Roteador de Borda e NAT (Network Address Translation) As listas de acesso de um roteador são proporcionalmente mais simples e normalmente são classificados como filtros de pacotes simples. Por serem equipamentos que trabalham em camada 3, os roteadores possuem pouca ou nenhuma interferência quanto aos protocolos de camada 7 de aplicação. Geralmente, sua lista de acesso é configurada para permitir ou negar determinado tipo de tráfego com base nas informações de endereço de origem, destino, portas de passagem e de destino. 5.1. Roteador de Borda e NAT (Network Address Translation) 5.1. Roteador de Borda e NAT (Network Address Translation) Fonte: Livro texto O rotador de borda O NAT (Network Address Translation) é uma solução que foi introduzida pela Cisco Systems, que resolve a maior parte dos problemas relacionados ao esgotamento do número de endereços IP da Internet. O firewall que executa NAT realiza um mapeamento entre endereços válidos na Internet e endereços inválidos (que são utilizados pelos computadores da rede interna), sendo desnecessário que cada estação possua seu próprio endereço de IP válido na lnternet. 5.1. Roteador de Borda e NAT (Network Address Translation) O mapeamento entre os endereços válidos e inválidos pode ocorrer da seguinte forma: único, ou seja, existe um único endereço inválido mapeado em um endereço válido; um para um, o que significa que para cada endereço inválido deve existir um endereço válido; muitos para um, a forma mais utilizada, em que muitos endereços inválidos compartilham o mesmo endereço válido. 5.1. Roteador de Borda e NAT (Network Address Translation) O NAT foi criado para permitir que máquinas pudessem acessar a internet sem que necessariamente tivessem um endereço IP válido, já que os endereços válidos são centralmente distribuídos e controlados. Por isso, foram criadas faixas de endereçamento chamadas de inválidas, que podem ser usadas livremente sem que seja necessário reportar aos órgãos. No entanto, estes endereços não “existem” na Internet real, ou seja, é por isso que, quando um pacote sai de uma rede inválida para uma válida, ele precisa ter o seu endereço de origem alterado. 5.1. Roteador de Borda e NAT (Network Address Translation) Oferece benefícios de ponto de vista de segurança, pois máquinas a partir da Internet não conseguem, normalmente, acessar de forma direta máquinas que estão na rede interna. Essa tecnologia permite o afunilamento do acesso à internet em alguns pontos pela rede interna. Pelo fato de o firewall ser normalmente um gateway, ele pode desempenhar estas funções, que também se combinam com as Funções de VPN, para criar soluções de conectividade e segurança conjuntas. (RAMOS, 2008, p.162). 5.1. Roteador de Borda e NAT (Network Address Translation) Fonte: Livro texto Qual o benefício do NAT sob o ponto de vista da segurança da informação? a) As máquinas a partir da Internet não conseguem, normalmente, acessar de forma direta máquinas que estão na rede interna. b) Não oferece nenhum benefício à Segurança da Informação. c) As máquinas podem acessar livre e seguramente a Internet, pois possuem endereços válidos de acesso. d) Direciona o tráfego de rede. e) Controla a banda de rede e a quantidade de acessos. Interatividade Qual o benefício do NAT sob o ponto de vista da segurança da informação? a) As máquinas a partir da Internet não conseguem, normalmente, acessar de forma direta máquinas que estão na rede interna. b) Não oferece nenhum benefício à Segurança da Informação. c) As máquinas podem acessar livre e seguramente a Internet, pois possuem endereços válidos de acesso. d) Direciona o tráfego de rede. e) Controla a banda de rede e a quantidade de acessos. Resposta O Firewall (parede de fogo) é um conjunto de hardware e software que permite a criação de regras definindo que tipos de serviço e tráfegos são permitidos por entre as redes que ele conecta. São dispositivos de controle de acesso cujas funções principais são a proteger as estações e a segmentação de perímetros. Geralmente colocado na junção de duas redes com níveis de confiança distintos. 5.2. Firewall e Proxy Firewall é qualquer dispositivo projetado para impedir que estranhos acessem a rede. Esse dispositivo geralmente é um computador independente (standalone), um roteador ou um firewall em uma caixa (dispositivo de hardware proprietário) A unidade serve como o único ponto de entrada para seu site e avalia cada solicitação de conexão quando é recebida. Somente solicitações de conexão de equipamentos autorizados são processadas; as demais solicitações de conexão são descartadas. A maioria dos firewalls realiza isso verificando o endereço de origem. 5.2. Firewall e Proxy Entretanto, essa verificação de acesso é apenas uma parte do que os firewalls modernos podem fazer. A maioria dos firewalls comerciais permitem verificar o conteúdo. Você pode explorar essa capacidade para bloquear Java, JavaScript, VBScript, scripts ActiveX e cookies no firewall. De fato, e possível criar regras para bloquear determinadas assinaturas de ataque. Os componentes de um firewall, no que se refere à sua construção, estão baseados na mente das pessoas que o desenvolvem, na sua essência, são um conceito em vez de um produto, são uma ideia de quem terá permissão para acessar seu site. 5.2. Firewall e Proxy Os firewalls de nível de rede são geralmente roteadores com capacidades poderosas de filtragem de pacote. Utilizando um firewall de nível de rede você pode conceder ou negar acesso ao seu site com base em diversas variáveis, incluindo: endereço de origem, protocolo, número de porta e conteúdo. Os firewalls baseados em roteador são populares porquesão facilmente implementados, para conectar um, basta fornecer algumas regras e está pronto. Além disso, a maioria dos roteadores novos faz um trabalho muito bom de tratamento de interfaces dúbias, no qual IPs de fora devem ser traduzidos por algum outro protocolo interno. 5.2. Firewall e Proxy Adicionalmente, um firewall baseado em roteador é uma solução de perímetro. Isto é, os roteadores são dispositivos externos, então eles eliminam a necessidade de interromper a operação normal da rede. Quando se utiliza um firewall baseado em roteador, não se pode configurar várias máquinas ou serviços para interagir com ele. 5.2. Firewall e Proxy Firewalls de aplicativo proxy (às vezes referidos como um gateway de aplicativo): quando um usuário remoto entra em contato com uma rede, executando um gateway de aplicativo, o gateway gerencia (proxies) a conexão. Nesse caso, pacotes de IP não são encaminhados à rede interna. Em vez disso, um tipo de tradução ocorre com o gateway agindo como canal e intérprete. 5.2. Firewall e Proxy A vantagem de gateways de aplicativo é que eles impedem o tunelamento de pacotes IP em sua rede. A desvantagem é que eles exigem overheads altos envolvendo grande parte da rede. Um aplicativo proxy deve ser configurado para cada serviço na rede, incluindo FTP, Telnet, HTTP, correio, notícia etc. Adicionalmente, usuários internos devem utilizar clientes de proxy (se eles utilizarem, você terá de adotar novas diretivas e procedimentos). 5.2. Firewall e Proxy A desvantagem de gateways de aplicativo é que, no caso de protocolos cliente- servidor, como Telnet, são necessários dois passos para enviar ou receber uma conexão. Alguns gateways de aplicativo exigem clientes modificados, que podem ser vistos como uma desvantagem ou uma vantagem, dependendo de os clientes modificados tornarem ou não mais fácil utilizar o firewall. 5.2. Firewall e Proxy Para construir um firewall é necessário seguir seis passos importantes: 5.2. Firewall e Proxy Fonte: Livro texto Depois de adquirido o firewall, é o momento de instalar e testar se as diretivas estão sedo empregadas corretamente, para isso é recomendado realizar testes extensos, compostos de duas fases: teste das diretivas impostas contra estranhos; teste das diretivas internas. A primeira fase pode ser feita a qualquer hora, mesmo (e talvez preferivelmente quando seus usuários estão ausentes (um fim de semana ou fora do horário de expediente é um bom momento para isso). 5.2. Firewall e Proxy A segunda fase é mais complicada. Espere muitos problemas e custos extras devido ao tempo de inatividade ou paralisação (down time) da rede. Além disso, fique preparado para se defrontar com alguns usuários zangados. É extremamente improvável que seja realizado corretamente na primeira vez, a menos que a rede seja totalmente homogênea e você tenha um conjunto consistente de aplicativo para todos. 5.2. Firewall e Proxy Qual a desvantagem de utilizar um gateway? a) É que ele impede o tunelamento de pacotes IP em sua rede. b) É que, no caso de protocolos cliente-servidor, como Telnet, são necessários dois passos para enviar ou receber uma conexão. c) Exige obrigatoriamente um cliente de Telnet modificado. d) Não exige overheads altos e envolvimento de grande parte da rede. e) Não há desvantagens na utilização do gateway. Interatividade Qual a desvantagem de utilizar um gateway? a) É que ele impede o tunelamento de pacotes IP em sua rede. b) É que, no caso de protocolos cliente-servidor, como Telnet, são necessários dois passos para enviar ou receber uma conexão. c) Exige obrigatoriamente um cliente de Telnet modificado. d) Não exige overheads altos e envolvimento de grande parte da rede. e) Não há desvantagens na utilização do gateway. Resposta O Firewall (parede de fogo) é um conjunto de hardware e software que permite a criação de regras, definindo que tipos de serviço e tráfegos são permitidos entre as redes que ele conecta. São dispositivos de controle de acesso em que suas funções principais são a proteção das estações e da segmentação de perímetros. Geralmente colocado na junção de duas redes com níveis de confiança distintos. 5.2. Firewall e Proxy Topologia de um Firewall 5.2. Firewall e Proxy Fonte: Livro texto Internet Firewall Switch Estação A Estação B Estação C Segundo Ramos (2008), nos primórdios da Internet, as primeiras iniciativas de se proteger as redes conectadas ao mundo externo passam pela tentativa de implementar mecanismos de controle de acesso nos roteadores. Estas tecnologias foram gradativamente evoluindo até atingirem um nível muito grande de complexidade e sofisticação. No começo, o firewall era atribuído a um conjunto de componentes responsável por efetuar o controle de acesso entre duas redes com níveis de confiança distintos, como a Internet e uma rede interna. Com o tempo, porém, diversos fabricantes começaram a fornecer soluções encaixotadas num único software para desempenhar este papel. 5.2. Firewall e Proxy Gerações de Firewall 5.2. Firewall e Proxy Fonte: Livro texto Geração Funções 1ª Geração – Filtro de pacotes Restringir tráfego baseado no endereço IP de origem ou destino Restringir tráfego através da porta (TCP ou UDP) do serviço 2ª Geração – Filtros de estado de sessão As regas da 1ª Geração Restringir o tráfego para início da conexão (NEW) Restringir o tráfego de pacotes que não tenham sido feitos a partir de rede protegida (ESTABLISHED) Restringir o tráfego de pacotes que não tenham número de sequência correto. 3ª Geração – Gateway de aplicação As regras das 1ª e 2ª gerações Restringir acesso FTP a usuários anônimos. Restringir acesso HTTP para portais de entretenimento. Restringir acesso aos protocolos desconhecidos na porta 443 (HTTPs) 4ª Geração – subsequentes Solução comercial para redes de comunicação TCP-IP O filtro de pacotes dinâmico (stateful inspection), O firewall isolado não consegue inibir todos os acessos indevidos, mas unido a outras ferramentas de controle de acesso pode evitar a entrada de vírus na rede e até mesmo detectar uma tentativa de invasão na rede interna. Os firewalls possuem como desvantagem o fato de, por serem o único ponto de acesso, podem tornar o acesso a outra rede lento. Para resolver isso, uma solução seria aumentar a capacidade com soluções de redundância, mas isso é muito caro. 5.2. Firewall e Proxy Burlando Sistema de Firewall 5.2. Firewall e Proxy Fonte: Livro texto O proxy é um servidor que literalmente faz a intermediação da comunicação de um equipamento na rede segura com um equipamento na rede externa. 5.2. Firewall e Proxy Fonte: Livro texto VANTAGENS DESVANTAGENS As redes são totalmente isoladas umas das outras São mais lentos e menos flexíveis Recursos de log/registro Podem exigir configuração dos clientes Recursos de cache Existe a necessidade de os proxies sofrerem update para cada novo serviço/ aplicação criado e inserido na rede Balanceamento de carga. Funcionamento do proxy. 5.2. Firewall e Proxy Fonte: Livro texto A configuração da Política de Segurança em um Firewall baseado em proxy deve seguir alguns passos lógicos para sua efetiva atuação. 1º Determinar os tipos de proxy usados no firewall. 2º - Listar as máquinas internas que podem usar o proxy. 3º - Ajustar os requerimentos de permissão ou negação a determinados destinos e os requisitos de autenticação. 5.2. Firewall e Proxy Autenticação Autorização Auditoria Filtro de pacote simples Não Sim, apenas paraendereços IP Não Filtro de pacotes stateful Não Sim Limitado Proxy de circuito Não SIM Limitado Proxy de aplicação Sim Sim, endereços IP e ID de usuários Sim Fonte: Livro texto Arquitetura Firewall + Proxy. 5.2. Firewall e Proxy Fonte: Livro texto Além de monitorar o tráfego entre redes, um firewall pode também desempenhar as seguintes funções: Análise de conteúdo (content screening); Gateway de VPN (Virtual Private Network); Tradução de endereços de rede NAT (Network Address Translation); Autenticação de usuários; Balanceamento de carga (load balancing). 5.2. Firewall e Proxy O que faz um proxy? a) Conecta dois equipamentos à rede externa. b) Serve para fornecer acesso à rede externa. c) Limita o uso da banda de Internet. d) Intermedeia a comunicação de um equipamento na rede segura com um equipamento na rede externa. e) Fornece acesso à rede externa. Interatividade O que faz um proxy? a) Conecta dois equipamentos à rede externa. b) Serve para fornecer acesso à rede externa. c) Limita o uso da banda de Internet. d) Intermedeia a comunicação de um equipamento na rede segura com um equipamento na rede externa. e) Fornece acesso à rede externa. Resposta Os Bastion hosts são estações de trabalho que são adicionadas fora da rede interna dentro da rede perimetral que visa focar o aspecto de segurança da máquina que é acessada pela internet, pois se ela não for comprometida e o firewall estiver configurado corretamente para bloquear os acessos através dela, não sobram muitas opções para o intruso. É necessário que os equipamentos colocados nessa posição não possuam vulnerabilidades. 5.4. Bastion Host Por isso, essas máquinas costumam ter a sua segurança fortificada, em um processo chamado de hardening, o qual envolve tarefas como garantir que a máquina não possua vulnerabilidades, que serviços desnecessários sejam desabilitados, que sejam implementados para controlar o acesso às suas portas, entre outras coisas. Estas máquinas recebem o nome de bastion hosts. Porém, não se pode confiar unicamente no processo de hardening, pois mesmo com ele ainda existe a possibilidade de a máquina ter sua segurança comprometida. Por isso, elas costumam ser isoladas em segmentos de rede específicos, numa tentativa de dificultar a propagação de ataques que as utilizem como plataformas. 5.4. Bastion Host O perímetro de segurança significa uma faixa de delimitação territorial. A utilização de uma DMZ (DeMilitarized Zone). Em um prédio, costumamos ter um perímetro físico entre a calçada e o começo da construção, que o separa da rua. Internamente, podemos ainda ter diversos outros perímetros, sempre representando um espaço físico que se interpõe entre zonas com níveis de proteção diferentes. 5.4. Perímetro de Segurança O perímetro de segurança significa uma faixa de delimitação territorial. A utilização de uma DMZ (DeMilitarized Zone). 5.4. Perímetro de Segurança Fonte: Livro texto O modo de operação dos sistemas de detecção de intrusão utiliza os seguintes métodos para detecção: Análise de assinatura de ataques: esses sistemas já possuem armazenados os principais ataques realizados por hackers. Eles simplesmente monitoram o comportamento dos servidores para verificar a ocorrência do ataque. Se o cracker se utiliza de um ataque novo ao qual o sistema de intrusão não possui a assinatura, ele não será reconhecido. 5.5. Sistemas de Detecção e Prevenção de Invasão e Políticas Análise de protocolos: está sempre verificando os protocolos de aplicação para determinar se existe algo de errado. Por exemplo, um ataque de DNS do tipo overflow do buffer do BIND pode ser detectado pela análise de protocolo, pois esse tipo de ataque inclui alguns bytes no pacote, que são identificáveis. 5.5. Sistemas de Detecção e Prevenção de Invasão e Políticas Detecção de anomalias: este é o método mais complexo de detecção de intrusão. Ele envolve o monitoramento de CPU, logs do sistema operacional, memória e discos dos servidores para verificar se alguma anomalia que pode ou não ser um ataque está ocorrendo no servidor. Existem anomalias que podem ser detectadas de aplicações, como a realização de uma query DNS em um servidor web que a princípio não deveria ter o DNS rodando. 5.5. Sistemas de Detecção e Prevenção de Invasão e Políticas Muitas pessoas acreditam que os sistemas de detecção de intrusão detectam mau uso da rede ou ataques. O fato é que esses sistemas detectam problemas ou anomalias. A função do administrador de redes é determinar se esses problemas ou anomalias correspondem ou não a ataques. Na verdade, as detecções falso-positivas são o grande problema dos sistemas de detecção de intrusão, o qual foi resolvido com sistemas de prevenção de intrusão de última geração, que eliminam drasticamente o número de falsos positivos. O software é apenas capaz de identificar padrões maliciosos ou atividades anormais. 5.5. Sistemas de Detecção e Prevenção de Invasão e Políticas O modo de operação dos sistemas de detecção de intrusão utiliza os seguintes métodos para detecção: Análise de Assinatura de Ataques, Análise de protocolos e Detecção de anomalias. 5.5. Sistemas de Detecção e Prevenção de Invasão e Políticas Tipo Função Sistemas baseados na rede Trabalham com a análise de pacotes da rede Sistemas baseados nas estações Coletam logs e eventos do sistema operacional das estações Sistemas baseados na integridade de arquivos Verificam a integridade dos arquivos utilizando sistemas antivírus e auditoria Fonte: Livro texto Controle Descrição Proteção das informações críticas Criar mecanismos para proteger as informações críticas que precisam ser compartilhadas, por esse motivo o uso de criptografia é recomendado Atualização dos softwares antivírus É necessária a atualização constante da lista de vírus conhecidos Uso de firewall Não apenas na rede, mas também nas estações de trabalho, individualmente Procedimentos de Logon A entrada no sistema deve limitar o tempo máximo para sua conclusão e o tempo máximo de tentativas de entrada Políticas e controles Relacionadas ao uso de equipamentos portáteis como notebooks e celulares Proteções aplicáveis aos usuários finais. 5.5. Sistemas de Detecção e Prevenção de Invasão e Políticas Fonte: Livro texto No sistema de detecção e prevenção de invasão, o que faz a Análise de Assinatura de Ataques? a) Envolve o monitoramento de CPU, logs do sistema operacional, memória. b) Está sempre verificando os protocolos de aplicação. c) Analisa somente o tráfego entre os roteadores. d) Ela simplesmente monitora o comportamento dos servidores para verificar a ocorrência do ataque. e) Analisa somente os acessos às estações da rede. Interatividade No sistema de detecção e prevenção de invasão, o que faz a Análise de Assinatura de Ataques? a) Envolve o monitoramento de CPU, logs do sistema operacional, memória. b) Está sempre verificando os protocolos de aplicação. c) Analisa somente o tráfego entre os roteadores. d) Ela simplesmente monitora o comportamento dos servidores para verificar a ocorrência do ataque. e) Analisa somente os acessos às estações da rede. Resposta ATÉ A PRÓXIMA!