Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança de Sistemas e Internet Firewalls Marcos Aguinaldo Forquesato Centro de Computação UNICAMP Por que você precisa de segurança? äPara proteger sua rede contra a invasão de pessoas não autorizadas ä INTERNET ( NW - Julho/98 ) ä~ 36.739.000 computadores ä~ 13.062.628 domínios ( nível 3 ) ä ???.???.??? usuários -> 150.000.000 ( 1 % ) ä INTERNET Brasil ( CG ) ä ~ 163.890 computadores ä ~ 23.941 domínios ä~ 1.310.001 usuários - Dezembro/97 ( 1 % ) Incidentes nos USA ( CERT ) : ä 1992 773 ä 1994 2.340 ä 1996 2.573 ä 1997 2.134 ( > 100.000 ) ä 1-3Q 1998 2.497 ä 4 % detectam as tentativas de invasão ä 40 % dos ataques obtém permissão de super-usuário Teste do Departamento de Defesa ( USA - 1995 ) ä 8.932 sistemas participantes ä 7.860 foram invadidos com sucesso ä 390 detectaram os ataques ä apenas 19 relataram os ataques O que você está tentando proteger? äSeus dados ä Integridade äPrivacidade äDisponibilidade äSeus recursos äSua reputação Riscos na Internet äEstelionato / Sedução / Conto do Vigário äPerda da Performance äViolação de direitos autorais äRepúdio de informações äFalsos Sites/Identidades äFraudes äViolação de correspondência Contra o que você está tentando se proteger? äClasses de Ataques äRoubo de senhas äEngenharia Social äBUG & Backdoors äFalha de autenticação äFalha de protocolo äObtendo Informações äNegando serviços Segurança das Contas äSenhas äSeleção adequada äPolíticas para escolha äVerificação periódica da segurança ( Crack ) äDatas de expiração ä Contas guest ä Contas sem senha ä Contas de grupo -> Mecanismo de grupos Segurança do Sistema de Arquivos äVerificação periódica dos arquivos com suid/sgid äRemova os suids desnecessários dos filesystems ( locais e remotos ) äACLs äNunca utilize shell scripts com o suid bit ä umask ( 027 ou 077 ) äDispositivos Segurança do Sistema de Arquivos äArquivos imutáveis äMontar filesystems read-only äNetwork File System (NFS) ä /etc/exports ( -access ) äRestrição de acesso para o root änosuid/nodev äBACKUPs Monitoração da Segurança äChecklists diários ä /etc/passwd ( formato/conteúdo) äarquivos suid/sgid äarquivos sem dono ä .rhosts äTripwire äCOPS/Tiger Auditoria äLog Host ä lastlog ä utmp äwtmp ä acct Auditoria ä syslog ämessages ä sulog ä xferlog Segurança Física äBackups äPlano de contingência ä autologout ä xautolock Serviços ä "r" commands -> SSH ä /etc/hosts.equiv - $HOME/.rhosts ä lpd -> LPRng äNIS äNFS -> DFS ä /etc/hosts.lpd ä fingerd Serviços äDNS ( zone transfer ) äTrivial ftp (tftp) äNNTP/INND äPOP/IMAP ä /etc/aliases äSendmail ( smrsh - procmail ) ämajordomo/petidomo Serviços äTerminais seguros äUUCP äWorld Wide Web (WWW) äRode o httpd com o usuário nobody äCGI scripts äMonitore as logs ( access.log ) ä anonymous ftp Internet Firewalls O que é um Internet Firewall? äRestringe acessos a um local cuidadosamente controlado ä Impede que invasores alcançem suas demais defesas äRestringe saídas de um local cuidadosamente controlado O que um Firewall pode fazer? äForçar a política de segurança äLogar todo tráfego äLimitar riscos äUm firewall é um foco de decisões O que um Firewall não pode fazer? äProteger contra pessoas internas äProteger contra conexões que não passam por ele äProteger completamente contra novos caminhos Definições äFiltros de pacotes äProxy / Aplicação Gateway Filtros de pacotes äControle de acesso äEndereço de origem e destino äProtocolo ( TCP, UDP ou ICMP ) äPorta de origem e destino ( TCP ou UDP ) äTipo de mensagem ICMP ä Interface de rede de entrada e saida äTCP flags äFragmentos Proxy / Aplicação Gateway Proxy / Aplicação Gateway äRecebe as conexões e repassa a entrada de dados (input) para o sistema remoto. A aplicação responde aos proxies que repassam a saída (output) para o usuário. äControle de acesso äVerifica o protocolo de cada aplicação äLoga o tráfego äPode possuir mecanismos anti-virus Proxy / Aplicação Gateway äExemplos : äSendmail ( smapd - smtpd/smtpfwdd ) äTelnet gateway äFTP gateway äX11 protocol forwarder äHTTP gateway ( Screening ) Arquiteturas de Firewall äDual-Homed Host äScreened Host ä Bastion Host äScreened Subnet äRede perimetral ( Zona desmilitarizada ) äBastion Host äRoteador interno äRoteador externo Dual-Homed Gateway Screened Host Screened Subnet Zona desmilitarizada ( DMZ ) äSubrede localizada entre a rede externa ( Internet ) e a rede interna ( rede privada ) äPode ser a terceira interface de um gateway Variações sobre as arquiteturas äMúltiplos bastion hosts ä Juntar o roteador externo e interno äMúltiplos roteadores externos äMúltiplas redes perimetrais äUsar Dual-Homed Hosts e Screened Subnet Autenticação äOne-time passwords äPrograma/Calculadora äLista de senhas äEx: S/Key ( jotp ) - OPIE äSmart Card äEx: SecurID Criptografia äSimétrica äAssimétrica Criptografia Simétrica Criptografia Assimétrica Certificação äVerifica a chave pública äNecessita de um terceiro elemento , conhecido como Autoridade Certificadora ( CA ) Assinatura Digital äCertificados são conhecidos como assinaturas digitais äA chave pública pode verificar a integridade de um documento através da assinatura digital Network Address Translation ( NAT ) äMecanismo que troca o endereço IP de máquinas da rede interna para o endereço do firewall ( ou um range de endereços ) äOs IPs internos não são de conhecimento público Administração do Firewall äAlertas äAuditoria äAtendimento a emergências de segurança Ferramentas äFerramentas de autenticação äFerramentas de análise äFiltros de pacotes äSistemas proxies äFerramentas de criptografia äDaemons äUtilitários äProdutos comercias Ferramentas de autenticação äTIS Internet Firewall Toolkit äKerberos äDCE Ferramentas de análise äCOPS / Tiger äTripwire äSATAN ( Security Administrator Tool for Analyzing Networks ) ä ISS ( Internet Security Scanner ) äStrobe äNessus Filtros de pacotes ä IPfilter ä IPFW Proxies äSOCKS äTIS Internet Firewall Toolkit äUDP Packet Relayer ä rinetd äBjorb/stunnel Ferramentas de criptografia äSSH ( Secure Shell ) äSSL ( Secure Socket Lawer ) - SSLtelnet/SSLftp äPGP ( Pretty Good Privacy ) - gnupg Daemons äwuarchive ftpd ä gated äNIS+ äDFS ä xntpd Utilitários äTCPwrapper ä chrootuid ä swatch/logsurfer ä trimlog ä tcpdump/tcpshow Produtos comercias ( 38 empresas ) äFirewall-1 ( Checkpoint ) äAltavista Firewall äGauntlet Firewall ( TIS ) äFirewall Aker ( brasileiro ) Referências äLivros : äFirewalls and Internet Security äBuilding Internet Firewalls äPractical Unix & Internet Security äComputer Crime Referências äLinks : äCOAST Homepage - www.cs.purdue.edu/coast äCERT Coordination Center - www.cert.org äNIC-BR - www.nic.br äPangéia - www.pangeia.com.br Listas ä seguranca@pangeia.com.br ä cert-br@pangeia.com.br ä nbso@nic.br ä BUGTRAQ@NETSPACE.ORG ä firewalls@GreatCircle.COM
Compartilhar